Olvidé renovar mi certificado Let's Encrypt y usé HPKP en mi sitio web.
Por el momento, no puedo abrir mi sitio web debido a que las antiguas claves fijadas están allí. El error del navegador que recibo es (en Firefox):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
¿Qué se supone que debo hacer para que mis visitantes puedan volver a acceder a mi sitio web después de renovar el certificado?
Respuesta1
Si está utilizando el certbotcliente, entonces claramente debería haber leído sobre HPKPantespermitiéndolo.
El cliente Let's Encrypt en realidad genera nuevas claves cada vez que emite nuevos certificados, independientemente de si expiraron o no, por lo que fijar sus claves nunca le durará más de 90 días antes de encontrarse con problemas como el que enfrenta.
En este momento, su mejor opción es buscar las claves archivadas /etc/letsencrypty usar la que había anclado para generar manualmente una CSR y pedirle a Let's Encrypt que le emita un certificado basado en esa CSR (el cliente también maneja eso, AFAIK). Luego cambie su HPKP para fijar un certificado más arriba en la cadena de certificados para que no cambie cada 90 días, reduzca drásticamente su vida útil a unos pocos minutos (ya que supongo que copió y pegó una configuración que encontró en Internet) y Una vez que haya comprendido realmente sus implicaciones, considere cuidadosamente cómo desea configurarlo.