Esqueci de renovar meu certificado Let's Encrypt e usei HPKP em meu site.
No momento, não consigo abrir meu site devido às antigas chaves fixadas que estão lá. O erro do navegador que recebo é (no Firefox):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
O que devo fazer para que meus visitantes possam acessar meu site novamente, após a renovação do certificado?
Responder1
Se você estiver usando o certbotcliente, então claramente você deveria ter lido sobre HPKPanteshabilitando-o.
Na verdade, o cliente Let's Encrypt gera novas chaves sempre que emite novos certificados, independentemente de eles terem expirado ou não, portanto, a fixação de suas chaves nunca durará mais de 90 dias antes de você se deparar com problemas como o que está enfrentando.
No momento, sua melhor aposta é procurar as chaves arquivadas /etc/letsencrypte usar aquela que você fixou para gerar manualmente um CSR e pedir ao Let's Encrypt para emitir um certificado com base nesse CSR (o cliente também cuida disso AFAIK). Em seguida, altere seu HPKP para fixar um certificado mais alto na cadeia de certificados, para que não mude a cada 90 dias, reduza drasticamente sua vida útil para alguns minutos (já que presumo que você copiou e colou uma configuração que encontrou na Internet) e depois de realmente entender as implicações disso, considere cuidadosamente como deseja configurá-lo.