Ich habe vergessen, mein Let’s Encrypt-Zertifikat zu erneuern, und ich habe HPKP auf meiner Website verwendet.
Im Moment kann ich meine Website nicht öffnen, da die alten fixierten Schlüssel vorhanden sind. Der Browserfehler, den ich erhalte, ist (bei Firefox):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
Was muss ich tun, damit meine Besucher nach der Erneuerung des Zertifikats wieder auf meine Website zugreifen können?
Antwort1
Wenn Sie den Client verwenden certbot, sollten Sie sich unbedingt über HPKP informiert haben.Voraktivieren.
Der Let‘s Encrypt-Client generiert tatsächlich neue Schlüssel, wenn neue Zertifikate ausgestellt werden, unabhängig davon, ob sie abgelaufen sind oder nicht. Das Fixieren Ihrer Schlüssel hält also nie länger als 90 Tage, bevor Sie auf Probleme wie das, mit dem Sie konfrontiert sind, stoßen.
Im Moment ist es am besten, nach den archivierten Schlüsseln zu suchen /etc/letsencryptund den Schlüssel zu verwenden, den Sie angeheftet haben, um manuell eine CSR zu generieren und Let's Encrypt zu bitten, Ihnen ein Zertifikat basierend auf dieser CSR auszustellen (soweit ich weiß, kümmert sich der Client auch darum). Ändern Sie dann Ihr HPKP, um stattdessen ein Zertifikat weiter oben in der Zertifikatskette anzuheften, damit es sich nicht alle 90 Tage ändert, und reduzieren Sie seine Lebensdauer drastisch auf ein paar Minuten (da ich davon ausgehe, dass Sie ein Setup kopiert und eingefügt haben, das Sie im Internet gefunden haben) und überlegen Sie sich, wenn Sie die Auswirkungen tatsächlich verstanden haben, genau, wie Sie es einrichten möchten.