From da8716f23c5952587c5f4e71f4029dc734b1de8b Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Tue, 5 Oct 2021 12:52:09 +0300
Subject: [PATCH] =?utf8?q?Let's=20Encrypt=20=D0=BF=D1=80=D0=BE=D1=82=D1=83?=
 =?utf8?q?=D1=85=D0=B0=D0=BD=D0=B8=D0=B5=20CA=20=D1=81=D0=B5=D1=80=D1=82?=
 =?utf8?q?=D0=B8=D1=84=D0=B8=D0=BA=D0=B0=D1=82=D0=B0?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://www.opennet.ru/opennews/art.shtml?num=55875
В 0cf376851fe0d97b3f8101676c05fa0541b1b27f уже была новость про то, что
один из сертификатов для Let's Encrypt протухнет. На свой основной
компьютер я какие-то новые LE CA добавлял -- поэтому никакой
работоспособности не заметил у себя. Но вчера приметил, что многие
репозитории на http://www.git.mirror.cypherpunks.ru/ не обновлялись
очень давно, в том числе всякие порты.

На серверах сертификаты касающиеся LE не были обновлены (должным
образом). Добавил какие-то -- всё заработало.

А сегодня irssi не подключался к Libera.Chat. s_client, gnutls-cli --
все подключаются, а irssi не может найти issuer-а. Слинкован напротив
OpenSSL. Вижу что вроде бы все корневые сертификаты имеются, не протухли.

На работе участвовал в написании X.509 валидатора цепочек. Решил
заиспользовать его. И он мне чётко выдал что зацикленный поиск корневого
сертификата идёт. Удалил и протухший CA (вроде где-то это что-то ломало)
и один из корней с одинаковым subject-ом.

Приятно когда своя же утилита реально помогает :-). Но существование
Let's Encrypt-а конечно заставило меня потратить время из-за всех его
кроссов и прочего короткоживущего говна.
-- 
2.50.0