Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Есть ли у нас варианты для HTTPS? Cертификаты Letsencrypt теперь почему-то не обновляются [решено]

На Госуслугах серты предлагаются только для юрлиц, физлица идут лесом. Покупать серты у рег.ру ник.ру и прочих - во-первых ломает платить, во-вторых нет гарантий, что и эти серты не отзовут. Есть у кого варианты?

Ну или киньте ссылкой вариант с ручным обновлением сертов (например, через прокси), желательно на OpenBSD
UPD. Всем спасибо, удалил все патчи, перезагрузился, установил все патчи (кстати, syspatch установил не 27 патчей, как было, а 32 - что-то ещё доставил), снова перезагрузился и взял с образа старого сервера старый cert.pem - после этого certbot отработал штатно и обновил сертификаты.

[моё] Политика Интернет Запад Текст
46

Лига Сисадминов

1.7K постов18K подписчика

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Все комментарии Автора
fshp
Автор поста оценил этот комментарий

Оффтопик. Почему BSD, да ещё и Open?

Никогда не пользовался, интересно очень.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Изучил Red Hat Linux (старый, ещё не RHEL) и FreeBSD (хороший мануал на русском).

Правда, не на курсах, так что мог чего-то и упустить.
Как-то попробовал OpenBSD и был поражён простотой.

Система мне показалась достаточно минималистичной, ничего лишнего.

Возможно, сыграла свою роль и ностальгия - pkg_add работает так же, как и в FreeBSD версий 6 и 7 (старые версии примерно 2008-2010 гг). Почти всё знакомо...

1
Аватар пользователя daverdaver
Автор поста оценил этот комментарий

Патчи стоят на LibreSSL?
https://www.opennet.ru/opennews/art.shtml?num=55897

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Вроде нет, не ставил. Типовые при обновлении ставил, а эти нет. Спасибо, поковыряю.

mordent
Автор поста оценил этот комментарий

через что получаете? плагин в ДНС-хостинге? панельки? вручную? в логах что пишет?
я так обновляю
./certbot certonly --manual -d *.example.domain --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

свой VDS с установленным OpenBSD-6.8

----------------------------------------------

An unexpected error occurred:

requests.exceptions.SSLError: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'ST_CONNECT', 'tlsv1 alert unknown ca'), ('SSL routines', '(UNKNOWN)SSL_internal', 'certificate verify failed')])")))

показать ответы
1
Аватар пользователя PriestonePriestone
Автор поста оценил этот комментарий
Стоит, возможно, попробовать валидацию через DNS. Только там надо подождать не 10 минут, как раньше. Но работает.
раскрыть ветку (1)
1
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо, попробую. Если что, проверял - DNS Яндекса указывают на мой сервер.

Боюсь, не устарели ли скрипты - ведь уже вышла OpenBSD-7.1 а на сервере до сих пор OpenBSD-6.8
Впрочем, серты до этого вообще с 6.4 перекатывал - а до этого с 5.8 - и работало.

показать ответы
3
winterheart
Автор поста оценил этот комментарий

Ссылку на то, что Let's Encrypt прекратило деятельность с российскими пользователями?

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

#comment_241662879

22
stslam
Автор поста оценил этот комментарий

Let's Encrypt - не единственный удостоверяющий центр, который автоматически выдаёт бесплатные сертификаты TLS по протоколу ACME. Кроме него, это делают норвежский Buypass (услуга BuyPass Go SSL) и австрийский ZeroSSL. А также SSL.com.


Короче. Просвещайся, раз прошланговал:

https://habr.com/ru/company/itsumma/news/t/571368/

раскрыть ветку (1)
2
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо!

tramvai
Автор поста оценил этот комментарий

Пересоздайте заявку. Прошел слушок, что они убрали усиленную проверку.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Не совсем понял, как это сделать.

Папку /etc/letsencrypt пока переименовал.

1
Аватар пользователя WaryagTwarWaryagTwar
Автор поста оценил этот комментарий

обновляй систему, обновляй ссл, обновляй хттп, и всё будет нормально работать.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо, попробую. Но это будет не быстро. На сервере до фига чего установлено.

11
mordent
Автор поста оценил этот комментарий

как-то без пруфов не тянет на инфоповод. думаю, надо позвать @moderator)

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо, поправил заголовок. Подскажите, пожалуйста, с чем может быть связано прекращение получения сертификатов.

показать ответы
1
Аватар пользователя EvKoRFCEvKoRFC
Автор поста оценил этот комментарий

Ищите проблему в другом месте, только сейчас обновил несколько сертификатов в зоне SU домашнем и в зоне RU рабочих

Issuer: C=US, O=Let's Encrypt, CN=R3

Validity

Not Before: Jun 27 09:43:18 2022 GMT

Not After : Sep 25 09:43:17 2022 GMT

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо, уже ищу.

9
lk7co
Автор поста оценил этот комментарий

Только что успешно прошел запрос сертификата для .ru домена.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

В таком случае, напомните, пожалуйста, алгоритм действий.

Развёртывал давно, мог чего-то и подзабыть.

Сертификаты получал с помощью certbot

сейчас пишет "bad handshake" и время правильное, MSK

показать ответы
1
tramvai
Автор поста оценил этот комментарий

ZeroSSL, SSL.com -- отлично работают, кроме русских зон.

А LE буквально утром выпускал com зону из России, все было нормально, тоже ru перестали выпускать?


Есть еще Globalsign, которые мамой клялись, что они вне политики. Но время выпуска сертов для ру доменов 7-14 дней. Зато выпускают.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

На моём сервере серты не обновляются. Пишет "bad handshake".

Ну и вообще у пары госкомпаний серты для ssl уже отозвали.

Я подумал, что Letsenscrypt тоже всё.

И да, мои сайты в зонах .ru и .su

показать ответы
1
Аватар пользователя PriestonePriestone
Автор поста оценил этот комментарий

Не нашел там заявлений летсэнкрипта о санкциях, а вопрос я задавал именно об этом.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Простите, пуганая ворона куста боится.

Заявление о санкциях из заголовка убрал.

показать ответы
12
Аватар пользователя PriestonePriestone
Автор поста оценил этот комментарий

И давно Let's Encrypt санкции объявил? В пятницу вот только получал серт от них для одного не особо важного сервера/сервиса. На выходных?

раскрыть ветку (1)
11
tramvai
Автор поста оценил этот комментарий

В общем, автор зря панику наводит. Все обновляется.

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

Спасибо!

15
Аватар пользователя samazarsamazar
Автор поста оценил этот комментарий

А откуда инфа что Let's Encrypt приостановил выдачу сертификатов? Мельком глянул их сайт - ничего такого не вижу

раскрыть ветку (1)
Аватар пользователя AfraniusAfranius
Автор поста оценил этот комментарий

#comment_241662879