Я забыл обновить свой сертификат Let's Encrypt, а на моем сайте использовался HPKP.
В данный момент я не могу открыть свой сайт из-за старых закрепленных ключей. Ошибка браузера, которую я получаю (в Firefox):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
Что мне следует сделать, чтобы посетители снова смогли зайти на мой сайт после того, как я продлил сертификат?
решение1
Если вы используете certbotклиент, то вам, очевидно, следовало бы прочитать о HPKP.допозволяя это.
Клиент Let's Encrypt на самом деле генерирует новые ключи при каждом выпуске новых сертификатов, независимо от того, истек ли срок их действия или нет, поэтому закрепление ключей никогда не продлится дольше 90 дней, прежде чем вы столкнетесь с проблемами, подобными той, с которой столкнулись вы.
Прямо сейчас, ваш лучший выбор - это найти архивированные ключи /etc/letsencryptи использовать тот, который вы закрепили, чтобы вручную сгенерировать CSR и попросить Let's Encrypt выдать вам сертификат на основе этого CSR (насколько мне известно, клиент тоже этим занимается). Затем измените свой HPKP, чтобы вместо этого закрепить сертификат выше в цепочке сертификатов, чтобы он не менялся каждые 90 дней, радикально сократить его срок службы до нескольких минут (так как я предполагаю, что вы скопировали и вставили настройку, которую нашли в Интернете), и как только вы действительно поймете последствия этого, тщательно подумайте, как вы хотите это настроить.