Мас OS, Chrome - с 1 октября невозможно открыть сайты с сертификатами Let's Encrypt

 С 1 октября Let's Encrypt обновили корневой сертификат. Если например Яндекс браузер через "нехочу" всё же позволяет их открыть, то Chrome не позволяет сделать это ни за что. Ну ни в какую. И хотя Chrome и показывает, что дата окончания сертификата - 2025 год, все равно пишет, что время его давно истекло. В чем причина, и что с этим делать?

Скажу сразу, что мне тоже настойчиво хотели присоветовать этот сертификационный центр, но я давно усвоил, что не всё бесплатное сильно полезно, и взял GeoTrust RapidSSL, чем доволен и как оказалось, не зря.

То есть, посетители нашего сайта могут быть совершенно спокойны (как и я), им ничего не помешает открывать любые страницы любым браузером. 

Но ведь по своей работе мне приходится открывать сайты других компаний, о у них тот самый бесплатный сертификат. Как оказалось, таких компаний очень много, среди них очень много серьезных, например курьерские компании, через которые мы осуществляем доставку, и даже некоторые маркетплейсы...

С Windows несколько проще, там конечно же следят за обновлением протоколов. Я же работаю на маке 2010 года, но даже после обновления до 10.11.6 openssl на нем стоит версии 0.9.8. Автообновление не дает никаких результатов (аналогичная ситуация на домашнем ubuntu 20.4), поэтому тут конечно решение одно: пересобрать ручками.

Отступление: встречал советы обновить или переустановить openssl, используя 

brew update && brew upgrade
brew install openssl@1.1

но это не дало результатов. Просто пустой выхлоп. Поэтому, как и сказал выше, собираем ручками.

Я использовал скрипт (вводил ручками, но можно и сохранить в скрипт) с гитхаба (https://gist.github.com/byronmansfield/97d74d8b0d1ea28b48536020dbd6d53e):

# Install OpenSSL from source on Mac OS X

# prepare workspace
mkdir -p ~/code/build-from-src/ && cd $_

# download source code
curl -LO https://www.openssl.org/source/openssl-1.1.1d.tar.gz

# expand tar
tar -xzvf openssl-1.1.1d.tar.gz
cd openssl-1.1.1d

# configure, make, install
perl ./Configure --prefix=/usr/local --openssldir=/usr/local/openssl no-ssl3 no-ssl3-method no-zlib darwin64-x86_64-cc enable-ec_nistp_64_gcc_128
make
make test
sudo make install MANDIR=/usr/share/man MANSUFFIX=ssl

# verify
openssl version
which -a openssl

# clean up
make clean
make distclean
cd ..
rm -fr openssl-1.1.1d
rm openssl-1.1.1d.tar.gz

 Осталось добавить сертификат в связку ключей, здесь все как обычно

https://support.apple.com/ru-ru/guide/keychain-access/kyca2431/mac

добавляем, даем разрешения. На этом всё, Chrome признает корневой сертификат и пускает на все сайты.

PS Конечно не очень хорошая ситуация вышла, но что ждать от бесплатного продукта, используемого в бизнесе? Или ты платишь деньги, или при необходимости гемороишься со своей стороны (в некоторое оправдание надо сказать, что спецы из Let's дали пару советов, что надо сделать, чтобы твои пользователи не испытывали неудобств, но как выяснилось, многим компаниям оказалось по барабану, кто и с чем будет заниматься безопасным сексом на "старом" оборудовании), или заморачиваются пользователи. 

Комментарии

  1. idressdaffern4 марта 2022 г. в 09:31

    Golden Nugget - MapyRO
    Find Golden Nugget locations, hours, 강원도 출장샵 directions, The Golden Nugget is located 의왕 출장안마 at 경기도 출장샵 the southern 영주 출장안마 end of the Fremont Street parking lot, and is 구리 출장샵 conveniently located near

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

Обратный звонок в CS-Cart 4.3.x

В очередной версии платформы электронной коммерции появилась интересная фича, реализованная отдельным аддоном, call-requests. Аддон реализует блок вывода телефона компании со ссылкой, при клике по которой появляется pop-up с формой ввода имени, телефона и удобного времени звонка. При этом в админпанели также выдается информация, на какой именно странице или со страницы какого товара была эта форма заполнена. Все такие заявки аккумулируются в одном разделе: Заказы - Обратный звонок. Так же этот аддон добавляет кнопку и форму "Купить в один клик"... Вот тут у меня и возникли потребности некоторого изменения кода, а поскольку начиная с версии 4.3.1 центр обновлений перестал выдавать вносимые изменения в файлы при обновлении, просто затирая их новыми файлами (не везде можно воспользоваться post и pre контроллерами, а owerride влечет за собой массу ответственности по отслеживанию изменений всего перезаписываемого кода или шаблона) то запишу изменения и для себя на будущее.
Далее...

Обновление сервера 1С:Предприятие на UNIX платформе

Некоторые задачи выполняются периодически, но не так часто, чтобы последовательность действий накрепко отложилась в голове. Или делаешь в спешке. Или стол уже просто обклеен ярлычками с памятками... И вот я решил, что такие задачи, выполнение которых отработано, и которые выполняются время от времени - постоянно, надо записывать. И мне памятка, и тем кто впервые с этим столкнется - подмога :) *********************** ЗАДАЧА Имеется сервер (приведены команды для сервера Fedora и Ubuntu), установлена серверная часть 1С:Предприятие, сервер баз данных PostgreSQL. Надо обновить версию 1С:Предприятие в компании. Рассмотрим всю процедуру по шагам в консоли сервера.
Далее...

CS-Cart: Модули. [AVP] Дополнение для Детектора изменений ядра

Изображение
Некоторые изменения невозможно внести с помощью модуля из-за нехватки хуков как в функциях php, так и в шаблонах, и их приходится вносить напрямую в файлы ядра. При обновлении такие изменения затираются, и каждый раз при обновлении платформы приходит головная боль, как бы не потерять свои изменения, не забыть внести их обратно. Модуль расширяет возможности Детектора изменений ядра. Теперь Вы имеете возможность скачивать архивом все файлы, в которые были внесены изменения. Структура каталогов ядра сохраняется для удобства.
Далее...