Searx (bazat pe Nginx) Certificatul SSL „Let’s Encrypt” nu este valabil pentru Safari (iPhone și MacOS), este valabil pentru restul lumii

Francesco Galgani

07.02.2023, 13:01

Am o instalare personalizată a Searx (https://searx.me/) la: https://ricercaalternativa.mydissent.net/

Funcționează corect cu Letsencrypt de ani de zile.De acum câteva zile, însă, certificatul oferit de Letsencrypt este compatibil cu orice, cu excepția Apple (Safari pe iPhone și pe macOS).

Acest test arată o „problemă de lanț”: https://www.ssllabs.com/ssltest/analyze.html?d=ricercaalternativa.mydissent.net

Nu știu cum să rezolv problema (și de fapt care este sensul acestei probleme), și pentru că instalarea certificatului SSL a fost întotdeauna complet automatizată cu următorul script Bash:

#!/bin/bash
YOUR_DOMAIN="ricercaalternativa.mydissent.net"
certbot certonly -d ${YOUR_DOMAIN} --manual --preferred-challenges dns
service uwsgi restart
repornirea serviciului nginx

Oricum, --preferred-challenges dns pare ignorat: nu îmi cere să implementez o înregistrare DNS. Aceasta este ieșirea:

# ./updateSSL.sh 
Se salvează jurnalul de depanare în /var/log/letsencrypt/letsencrypt.log
Pluginuri selectate: manual de autentificare, instalator Nici unul
Cert încă nu scade pentru reînnoire

Aveți un certificat existent care are exact aceleași domenii sau nume de certificat pe care l-ați solicitat și nu este aproape de expirare.
(ref: /etc/letsencrypt/renewal/ricercaalternativa.mydissent.net.conf)

Ce ai vrea sa faci?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Păstrați certificatul existent pentru moment
2: Reînnoiți și înlocuiți certificatul (limită de ~5 pe 7 zile)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Selectați numărul corespunzător [1-2] apoi [enter] (apăsați „c” pentru a anula): 2
Reînnoirea unui certificat existent

NOTITE IMPORTANTE:
 - Felicitări! Certificatul și lanțul dvs. au fost salvate la:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/fullchain.pem
   Fișierul dvs. cheie a fost salvat la:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/privkey.pem
   Certificatul dvs. va expira pe 2022-01-05. Pentru a obține un nou sau modificat
   versiunea acestui certificat în viitor, pur și simplu rulați certbot
   din nou.Pentru a reînnoi în mod non-interactiv *toate* certificatele, rulați
   "certbot reînnoiește"
 - Dacă vă place Certbot, vă rugăm să luați în considerare sprijinirea activității noastre prin:

   Donați către ISRG / Let's Encrypt: https://letsencrypt.org/donate
   Donați către EFF: https://eff.org/donate-le

Aceasta este versiunea certbot:

# apt-cache policy certbot | grep instalat
  Instalat: 0.31.0-2~deb10u1+ubuntu18.04.1+certbot+3

356

0 + 0

certificat ssl

să cripteze

Puncte:1

Server

Ryan Bolger

11.02.2023, 19:54

Problema dvs. provine din faptul că serverul dvs. web nu trimite niciun certificat în lanț cu certificatul dvs. de frunză. Acesta este ceea ce încearcă să vă spună testul SSL Labs când spune „Lanțul de certificate al acestui server este incomplet”.

Browserele și alți clienți trebuie să ghicească cum să verifice certificatul pe care îl trimiteți, iar unii sunt mai capabili/îngăduitori decât alții în a face acest lucru. Safari nu este. Acest lucru a început să se întâmple recent din cauza expirării recente a certificatului Root CA.

În configurația dvs. nginx, probabil aveți o linie precum:

ssl_certificate /etc/letsencrypt/live/ricercaalternativa.mydissent.net/cert.pem;

Dacă da, schimbați cert.pem la fullchain.pem și reporniți nginx. Apoi verificați din nou prin SSL Labs și vedeți ce spune despre lanțul dvs.

0 + 0

Francesco Galgani

11.02.2023, 22:18

Mulțumesc foarte mult Ryan, soluția propusă funcționează perfect. Pentru caracterul complet al informațiilor pentru cei care vor căuta o soluție la această problemă, am găsit această mică explicație teoretică: https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/ În ceea ce privește fișierul de modificat pentru o instalare standard a searx, este: /etc/nginx/sites-enabled/searx-ssl

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Searx (based on Nginx) "Let's Encrypt" SSL certificate is not valid for Safari (iPhone and MacOS), it is valid for the rest of the world

TH: Searx (ขึ้นอยู่กับ Nginx) ใบรับรอง SSL "Let's Encrypt" ไม่ถูกต้องสำหรับ Safari (iPhone และ MacOS) ใช้ได้กับส่วนที่เหลือของโลก

RO: Searx (bazat pe Nginx) Certificatul SSL „Let’s Encrypt” nu este valabil pentru Safari (iPhone și MacOS), este valabil pentru restul lumii

RU: Searx (на основе Nginx) SSL-сертификат Let's Encrypt недействителен для Safari (iPhone и MacOS), он действителен для остального мира

VI: Searx (dựa trên Nginx) Chứng chỉ SSL "Let's Encrypt" không hợp lệ cho Safari (iPhone và MacOS), nó hợp lệ cho phần còn lại của thế giới

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.