[about] [index] [prev] [2021-10-05 12:52:09+03:00] [da8716f23c5952587c5f4e71f4029dc734b1de8b]
Topics: [hate]

Let's Encrypt протухание CA сертификата

https://www.opennet.ru/opennews/art.shtml?num=55875
В 0cf376851fe0d97b3f8101676c05fa0541b1b27f уже была новость про то, что
один из сертификатов для Let's Encrypt протухнет. На свой основной
компьютер я какие-то новые LE CA добавлял -- поэтому никакой
работоспособности не заметил у себя. Но вчера приметил, что многие
репозитории на http://www.git.mirror.cypherpunks.ru/ не обновлялись
очень давно, в том числе всякие порты.

На серверах сертификаты касающиеся LE не были обновлены (должным
образом). Добавил какие-то -- всё заработало.

А сегодня irssi не подключался к Libera.Chat. s_client, gnutls-cli --
все подключаются, а irssi не может найти issuer-а. Слинкован напротив
OpenSSL. Вижу что вроде бы все корневые сертификаты имеются, не протухли.

На работе участвовал в написании X.509 валидатора цепочек. Решил
заиспользовать его. И он мне чётко выдал что зацикленный поиск корневого
сертификата идёт. Удалил и протухший CA (вроде где-то это что-то ломало)
и один из корней с одинаковым subject-ом.

Приятно когда своя же утилита реально помогает :-). Но существование
Let's Encrypt-а конечно заставило меня потратить время из-за всех его
кроссов и прочего короткоживущего говна.

[leave comment]