我忘記更新我的 Let's Encrypt 證書,並且我在我的網站上使用了 HPKP。
目前,由於舊的固定密鑰在那裡,我無法打開我的網站。我得到的瀏覽器錯誤是(在 Firefox 上):MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
更新憑證後,我該怎麼做才能讓訪客再次造訪我的網站?
答案1
如果您正在使用certbot客戶端,那麼顯然您應該閱讀 HPKP前啟用它。
實際上,每當頒發新憑證時,Let's Encrypt 用戶端都會產生新金鑰,無論它們是否過期,因此固定金鑰的持續時間永遠不會超過90 天,然後您就會遇到類似您所面臨的問題。
現在,您最好的選擇是尋找存檔金鑰/etc/letsencrypt並使用您固定的金鑰手動產生 CSR,並要求 Let's Encrypt 根據該 CSR 向您頒發憑證(據我所知,用戶端也會處理該問題)。然後更改您的HPKP,將證書固定在證書鏈的較高位置,這樣它就不會每90 天更改一次,將其生命週期大大縮短到幾分鐘(因為我假設您複製粘貼了在Internet 上找到的設定)並且一旦您真正理解了它的含義,請仔細考慮您想要如何設定它。