Searx (dựa trên Nginx) Chứng chỉ SSL "Let's Encrypt" không hợp lệ cho Safari (iPhone và MacOS), nó hợp lệ cho phần còn lại của thế giới

Francesco Galgani

13:01, 07/02/2023

Tôi đã cài đặt Searx tùy chỉnh (https://searx.me/) tại: https://ricercaalternativa.mydissent.net/

Nó đã hoạt động bình thường với Letsencrypt trong nhiều năm nay.Tuy nhiên, kể từ vài ngày trước, chứng chỉ do Letsencrypt cung cấp tương thích với mọi thứ trừ Apple (Safari trên iPhone và trên macOS).

Thử nghiệm này cho thấy "sự cố chuỗi": https://www.ssllabs.com/ssltest/analyze.html?d=ricercaalternativa.mydissent.net

Tôi không biết cách giải quyết vấn đề (và thực sự ý nghĩa của vấn đề này là gì), cũng bởi vì quá trình cài đặt chứng chỉ SSL luôn hoàn toàn tự động với tập lệnh Bash sau:

#!/bin/bash
YOUR_DOMAIN="ricercaalternativa.mydissent.net"
certbot certonly -d ${YOUR_DOMAIN} --manual --preferred-challenges dns
khởi động lại dịch vụ uwsgi
khởi động lại dịch vụ nginx

Dù sao thì, --preferred-thử thách dns dường như bị bỏ qua: nó không yêu cầu tôi triển khai bản ghi DNS. Đây là đầu ra:

# ./updateSSL.sh 
Lưu nhật ký gỡ lỗi vào /var/log/letsencrypt/letsencrypt.log
Các plugin được chọn: Hướng dẫn sử dụng trình xác thực, Trình cài đặt Không có
Chứng chỉ chưa đến hạn gia hạn

Bạn hiện có một chứng chỉ có cùng miền hoặc tên chứng chỉ mà bạn đã yêu cầu và sắp hết hạn.
(tham khảo: /etc/letsencrypt/renewal/ricercaalternativa.mydissent.net.conf)

Bạn thích làm gì?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Giữ chứng chỉ hiện tại cho đến bây giờ
2: Gia hạn và thay thế chứng chỉ (giới hạn ~5 trong 7 ngày)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Chọn số thích hợp [1-2] rồi [enter] (nhấn 'c' để hủy): 2
Gia hạn chứng chỉ hiện có

LƯU Ý QUAN TRỌNG:
 - Xin chúc mừng! Chứng chỉ và chuỗi của bạn đã được lưu tại:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/fullchain.pem
   Tệp chính của bạn đã được lưu tại:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/privkey.pem
   Chứng chỉ của bạn sẽ hết hạn vào ngày 05/01/2022. Để có được một cái mới hoặc tinh chỉnh
   phiên bản của chứng chỉ này trong tương lai, chỉ cần chạy certbot
   lần nữa.Để gia hạn không tương tác *tất cả* chứng chỉ của bạn, hãy chạy
   "gia hạn certbot"
 - Nếu bạn thích Certbot, vui lòng xem xét hỗ trợ công việc của chúng tôi bằng cách:

   Quyên góp cho ISRG / Let's Encrypt: https://letsencrypt.org/donate
   Quyên góp cho EFF: https://eff.org/donate-le

Đây là phiên bản của certbot:

# chính sách apt-cache certbot | đã cài đặt grep
  Đã cài đặt: 0.31.0-2~deb10u1+ubuntu18.04.1+certbot+3

356

0 + 0

chứng chỉ ssl

cho phép mã hóa

Điểm:1

Server

Ryan Bolger

19:54, 11/02/2023

Sự cố của bạn bắt nguồn từ thực tế là máy chủ web của bạn không gửi bất kỳ chứng chỉ chuỗi nào cùng với chứng chỉ lá của bạn. Đây là điều mà bài kiểm tra SSL Labs đang cố cho bạn biết khi thông báo "Chuỗi chứng chỉ của máy chủ này chưa hoàn chỉnh".

Các trình duyệt và ứng dụng khách khác phải đoán cách xác minh chứng chỉ bạn đang gửi và một số có khả năng/dễ thở hơn những trình duyệt khác khi thực hiện việc này. Safari thì không. Điều này chỉ mới bắt đầu xảy ra gần đây do chứng chỉ Root CA gần đây đã hết hạn.

Trong cấu hình nginx của bạn, bạn có thể có một dòng như:

ssl_certificate /etc/letsencrypt/live/ricercaalternativa.mydissent.net/cert.pem;

Nếu vậy, thay đổi chứng chỉ.pem đến fullchain.pem và khởi động lại nginx. Sau đó kiểm tra lại qua SSL Labs và xem nó nói gì về chuỗi của bạn.

0 + 0

Francesco Galgani

22:18, 11/02/2023

Cảm ơn Ryan rất nhiều, giải pháp đề xuất của bạn hoạt động hoàn hảo. Để có đầy đủ thông tin cho những người sẽ tìm kiếm giải pháp cho vấn đề này, tôi đã tìm thấy lời giải thích lý thuyết nhỏ này: https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/ Về tệp cần sửa đổi đối với cài đặt tiêu chuẩn của searx, đó là: /etc/nginx/sites-enabled/searx-ssl

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Searx (based on Nginx) "Let's Encrypt" SSL certificate is not valid for Safari (iPhone and MacOS), it is valid for the rest of the world

TH: Searx (ขึ้นอยู่กับ Nginx) ใบรับรอง SSL "Let's Encrypt" ไม่ถูกต้องสำหรับ Safari (iPhone และ MacOS) ใช้ได้กับส่วนที่เหลือของโลก

RO: Searx (bazat pe Nginx) Certificatul SSL „Let’s Encrypt” nu este valabil pentru Safari (iPhone și MacOS), este valabil pentru restul lumii

RU: Searx (на основе Nginx) SSL-сертификат Let's Encrypt недействителен для Safari (iPhone и MacOS), он действителен для остального мира

VI: Searx (dựa trên Nginx) Chứng chỉ SSL "Let's Encrypt" không hợp lệ cho Safari (iPhone và MacOS), nó hợp lệ cho phần còn lại của thế giới

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.