Let's Encrypt 証明書の更新を忘れてしまい、Web サイトで HPKP が使用されていました。
現時点では、古いピン留めキーが残っているため、Web サイトを開くことができません。表示されるブラウザ エラーは次のとおりです (Firefox の場合):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
証明書を更新した後、訪問者が再び Web サイトにアクセスできるようにするには、どうすればよいですか?
答え1
クライアントを使用している場合はcertbot、HPKPについてよく読んでおく必要があります。前にそれを有効にします。
Let's Encrypt クライアントは、新しい証明書を発行するたびに、その証明書の有効期限が切れているかどうかに関係なく、新しいキーを生成します。そのため、キーをピン留めしても、現在直面しているような問題が発生するまで 90 日以上は持続しません。
現時点では、アーカイブされたキーを探し/etc/letsencrypt、ピン留めしたキーを使用して手動で CSR を生成し、Let's Encrypt にその CSR に基づいて証明書を発行するよう依頼するのが最善策です (私の知る限り、クライアントがそれも処理します)。次に、HPKP を変更して、証明書チェーンの上位に証明書をピン留めし、90 日ごとに変更されないようにして、有効期間を数分に大幅に短縮します (インターネットで見つけた設定をコピーして貼り付けたと想定しているため)。そして、その意味を実際に理解したら、どのように設定するかを慎重に検討します。