SSL 证书有效但浏览器显示无效

Question

我花了几个小时寻找解决方案，但找不到任何解决方案。我正在通过 certbot 使用 letsencrypt ssl。

我的域是 ektaz.com，当我在浏览器上查看证书时它说

到期时间:2021 年 11 月 8 日星期一 16:24:33 GMT+03:00

当我使用 certbot 证书 从服务器端检查它时，我得到的结果是

到期日:2021-11-08 13:24:33+00:00(有效期:39 天)

但是所有浏览器都说证书无效我不明白为什么。

此外，我还多次使用 certbot renew 更新了此证书，到目前为止我没有遇到任何问题。我已经清除了所有缓存并尝试了结果是一样的。我多次重启了apache。甚至重新启动了服务器，但没有任何改变。

服务器操作系统:Ubuntu 20.04 LTS

Answer 1

您的证书可能根本没有无效。

有一个简单的修复方法。我在这个例子中使用了 nginx 配置风格:

ssl_certificate /usr/local/etc/letsencrypt/live/domain.com/cert.pem;

像这样的行需要被像这样的行替换

ssl_certificate /usr/local/etc/letsencrypt/live/domain.com/fullchain.pem;

然后刷新服务器的配置。

这个问题随处可见，包括小型和大型网站。

根本原因是用于配置网络服务器的旧教程提供了 cert.pem 文件(因为它有效)而不是 fullchain.pem 文件，后者确保浏览器获得验证证书所需的完整链。

不幸的是，苹果、Mozilla 和其他一些公司失手了，他们仍在使用同一个中间证书 (IdentTrust DST Global Root CA X3)，该证书于昨天下午 2:21:40 过期(美国中部标准时间)来检查正在使用的证书它之前。 iOS 15.0 (19A346) 是唯一发布的 Apple 软件版本，即使服务器未发送完整链，它也会自动使用新的中间证书。

服务器使用的实际中间证书由 ISRG Root X1 颁发给 R3，但除非您将服务器配置为使用服务器配置中的 fullchain.pem 明确告知浏览器，否则遗憾的是许多软件公司已经丢球，不要自己做对。

但再一次，这是一个简单的修复。只需对服务器配置文件“cert.pem”->“fullchain.pem”中的行稍作更改，就可以了。

而且没有理由不继续永久使用 fullchain.pem 文件。事实上，即使在这种情况发生之前，各种网络(大学校园 WiFi 网络为此臭名昭著)也会搞砸您的证书的授权链，除非您无论如何都使用 fullchain.pem 文件。 Let's Encrypt 现在甚至推荐将此作为配置 Web 服务器以使用证书的唯一正确方法。