Let's Encrypt протухание CA сертификата
https://www.opennet.ru/opennews/art.shtml?num=55875
В
0cf376851fe0d97b3f8101676c05fa0541b1b27f уже была новость про то, что
один из сертификатов для Let's Encrypt протухнет. На свой основной
компьютер я какие-то новые LE CA добавлял -- поэтому никакой
работоспособности не заметил у себя. Но вчера приметил, что многие
репозитории на http://www.git.mirror.cypherpunks.ru/ не обновлялись
очень давно, в том числе всякие порты.
На серверах сертификаты касающиеся LE не были обновлены (должным
образом). Добавил какие-то -- всё заработало.
А сегодня irssi не подключался к Libera.Chat. s_client, gnutls-cli --
все подключаются, а irssi не может найти issuer-а. Слинкован напротив
OpenSSL. Вижу что вроде бы все корневые сертификаты имеются, не протухли.
На работе участвовал в написании X.509 валидатора цепочек. Решил
заиспользовать его. И он мне чётко выдал что зацикленный поиск корневого
сертификата идёт. Удалил и протухший CA (вроде где-то это что-то ломало)
и один из корней с одинаковым subject-ом.
Приятно когда своя же утилита реально помогает :-). Но существование
Let's Encrypt-а конечно заставило меня потратить время из-за всех его
кроссов и прочего короткоживущего говна.