Про ssl сертификаты

0

1

Вопрос: в чем прелесть fullcahin.pem вместо server.pem ?

В fullcahin у нас server + root + intermediate сертификаты.

В server - только server.

Ссылка

←	почему может изменяться TTL? (2)

Debian: какой приоритет выставить репозиториям?

→

https://nginx.org/en/docs/http/configuring_https_servers.html#chains

Some browsers may complain about a certificate signed by a well-known certificate authority, while other browsers may accept the certificate without issues. This occurs because the issuing authority has signed the server certificate using an intermediate certificate that is not present in the certificate base of well-known trusted certificate authorities which is distributed with a particular browser. In this case the authority provides a bundle of chained certificates which should be concatenated to the signed server certificate.

i-rinat ★★★★★
(04.10.21 18:22:56 MSK)

Ответ на: комментарий от i-rinat 04.10.21 18:22:56 MSK

Ага. Вот откуда ноги ростут.

Теперь бы понять откуда node js берет сертификаты для проверки.

Проблема достаточно странная: curl/wget обращается к nginx-у той же самой системе и у них все хорошо (после бана mozilla/DST_Root_CA_X3.crt и update-ca-certificates), а meteor (js-поделка) - говорит, что протух сертификат.

Но если в nginx удалить intermediate из fullchains, то всё начинает работать 8-/

Все происходит на убунте 16.

vel ★★★★★
(04.10.21 19:14:37 MSK) автор топика

Ответ на: комментарий от vel 04.10.21 19:14:37 MSK

Все происходит на убунте 16.

Там же OpenSSL 1.0.2, так? Про него пишут, что он противится, если увидит хоть один просроченный сертификат. Обновить OpenSSL не вариант?

i-rinat ★★★★★
(04.10.21 19:25:58 MSK)

Ответ на: комментарий от i-rinat 04.10.21 18:22:56 MSK

С нодой все ясно. Там все сертификаты вкомпилены в ноду @#$%^&*! Она не пользует системные по умолчанию!

То-то я видел кучу рекомендаций указывать через переменные окружения месторасположение сертификатов и какие-то модули типа syswide-cas

vel ★★★★★
(04.10.21 19:40:21 MSK) автор топика

Ссылка

Ответ на: комментарий от i-rinat 04.10.21 19:25:58 MSK

Гм, даже так.

Я взял простенький js-скрипт, который делает https-запрос.

Без промежуточного сертификата все ОК. С промежуточным ошибка.

Проблема в том, что «strace node ...» не выявила загрузку openssl. Т.е. это апгрейд node, что на данный момент затруднительно.

Я не представляю как это скажется на bigbluebutton сервере. Мне проще будет перенести на свежий ВВВ-сервер все записи, чем выёживаться с апгрейдом старого ВВВ.

vel ★★★★★
(04.10.21 19:54:25 MSK) автор топика

Ответ на: комментарий от vel 04.10.21 19:54:25 MSK

Если вас не заботит совместимость со старыми Android (<7.1.1), то удаляйте сертификат IdenTrust из цепочки (DST Root CA X3).

ValdikSS ★★★★★
(05.10.21 00:12:12 MSK)

Ответ на: комментарий от ValdikSS 05.10.21 00:12:12 MSK

Спасибо, интересное уточнение.

vel ★★★★★
(05.10.21 09:39:53 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	почему может изменяться TTL? (2)

Admin

Debian: какой приоритет выставить репозиториям?

→

Похожие темы