Проблемный сертификат IdenTrust DST Root CA X3
Решение
1. Необходимо убедиться, что система доверяет ISRG Root X1
2. Убедиться, что в ОС не используется старая версия openssl
Исправление
Пакеты доверенных сертификатов находятся в каталоге /etc/ssl/certs
Чтобы удалить/занести в черный список корневой центр сертификации DST X3:
sudo rm /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
Обновить
sudo update-ca-certificates
Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"
Если нет строчки: subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1
Тогда нужно добавить ISRG Root X1 в доверенные:
curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt
Добавить в файл /etc/ca-certificates.conf строчку:
mozilla/ISRG_Root_X1.crt
Проверить, что строка присутствует:
cat /etc/ca-certificates.conf | grep mozilla/ISRG_Root_X1.crt
Выполнить команду:
sudo update-ca-certificates
Проверить версию openssl:
openssl version
Должна быть 1.1.x Если используется версия openssl 1.0.x, тогда удалить из доверенных сертификатов DST Root CA X3
В файле /etc/ca-certificates.conf поставить ! перед mozilla/DST_Root_CA_X3.crt
!mozilla/DST_Root_CA_X3.crt
Выполнить команду:
sudo update-ca-certificates
При необходимости перезагрузить nginx
Проверить валидность сертификата для домена можно здесь
Источники
Связанные темы
Конфигурация openvpn сервера в Linux Alpine
Саздание сертификатов SSL (TLS) для сайта