Как проверить сертификат от Let's Encrypt?

Question

[47911]

Cтоит сертификат от "Let's Encrypt". https://www.sslshopper.com/ssl-checker.html - пишет всё ок. Но на айфоне в "арабских эмиратах" заходит на сайт и "не удаётся установить защищённое соединение". Как исправить?

Comments

[47911]

Vitaly Karasik, shurshur, Alexey Dmitriev, Если важно: единственная жалоба при проверке ssllabs.com это:

Path #2: Not trusted (invalid certificate [Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739])
4 In trust store DST Root CA X3 Self-signed
Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739
Pin SHA256: Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=
RSA 2048 bits (e 65537) / SHA1withRSA
Valid until: Thu, 30 Sep 2021 14:01:15 UTC
EXPIRED
Weak or insecure signature, but no impact on root certificate

Вот полн

https://www.ssllabs.com/ssltest/analyze.html

Certification Paths

Mozilla - Apple - Android - Java - Windows

Path #1: Trusted
1 Sent by server сайт.ru
Fingerprint SHA256: 72a1cb7ca8fc982e2bc4757497eb9eda535eada0ead63f1a12a5f8645be2eb96
Pin SHA256: 7f5/zTIqCIWhkb21gcWw70vqxZ4yXlb6ROLfOgITwcU=
EC 256 bits / SHA256withRSA
2 Sent by server R3
Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd
Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0=
RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store ISRG Root X1 Self-signed
Fingerprint SHA256: 96bcec06264976f37460779acf28c5a7cfe8a3c0aae11a8ffcee05c0bddf08c6
Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M=
RSA 4096 bits (e 65537) / SHA256withRSA

Path #2: Not trusted (invalid certificate [Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739])
1 Sent by server сайт.ru
Fingerprint SHA256: 72a1cb7ca8fc982e2bc4757497eb9eda535eada0ead63f1a12a5f8645be2eb96
Pin SHA256: 7f5/zTIqCIWhkb21gcWw70vqxZ4yXlb6ROLfOgITwcU=
EC 256 bits / SHA256withRSA
2 Sent by server R3
Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd
Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0=
RSA 2048 bits (e 65537) / SHA256withRSA
3 Sent by server ISRG Root X1
Fingerprint SHA256: 6d99fb265eb1c5b3744765fcbc648f3cd8e1bffafdc4c2f99b9d47cf7ff1c24f
Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M=
RSA 4096 bits (e 65537) / SHA256withRSA
4 In trust store DST Root CA X3 Self-signed
Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739
Pin SHA256: Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=
RSA 2048 bits (e 65537) / SHA1withRSA
Valid until: Thu, 30 Sep 2021 14:01:15 UTC
EXPIRED
Weak or insecure signature, but no impact on root certificate

Но я не понимаю: вроде не обязательно. Но как поправить - неясно. Поисковик не дал внятных ответов.

[shurshur]

Это не тот ли сертификат, который отозвали как раз осенью несколько лет назад, когда у многих LE прилегло, особенно в старых браузерах?

Тогда помогало установить self-signed (не cross-signed!) версию ISG Root X1 в качестве доверенных корневых.

[47911]

shurshur, Яндекс сказал Тынц.

Щас провожусь и настрою. Отпишусь.

Я не был в курсе. Спасибо большое.

[47911]

shurshur, Там в инструкции речь идёт об создании самописного сертификата.

Я так понимаю, что в "4 In trust store DST Root CA X3 Self-signed" идёт речь об самописном сертификате, который я не устанавливал?
Как он туда попадает?
А я получаю от "Let's Encrypt". Может я что-то не то читаю/делаю?

А вообще, судя по всему, у меня проблема в: Вкладка "Apple" -> "4 Extra download Not in trust store" - в том что конкретно от Яблока нет доверия.
А как?
Вариант "просить пользователя добавлять в доверенные не канает".

Answer 1

[ky0]

Проблемы могут быть не только с установленным на сайт сертификатом, но и с различными тащмайорами, вмешивающимися в передачу данных. Исправить это можно впном до ближайшей страны с более-менее демократическим строем.

Comments

[47911]

ky0, к сожалению надо "по человечески", цивильно.

[sajtpro]

ну в передачу данный капитенблек то же может вмешаться, просто виду не показывает. по другому не бывает. зря что ли энтернет придумали. при чём тут летскрипт, который бесплатно раздаётся и тщмайор непонятно.
и вообще страна эмираты. не Россия. стереотип. что за демократический строй вы имеете в виду? Страну, где действующих президентов блокируют в Х ?

[YepBro]

47911, это та страна, где Сноуден раньше жил? )

[litowwwka]

YepBro, отлично сказано

[47911]

sajtpro, В РФ на этом айфоне - норм.
Другого айфона в эмиратах нет у человека. Собственно на другие сайты он заходит нормально(которые аналогичные - Let's Encrypt - сайт аналогично местный.

YepBro, не имею ни малейшего понятия.

Answer 2

[Vitaly Karasik]

Простейший способ - попросить этого человека прислать скриншот браузера с объяснением почему он так считает.
Если человек умеет запускать в командной строке openssl - еще лучше.

spoiler

Comments

[47911]

Vitaly Karasik, он может прислать скриншот фразы "safari не удаётся открыть страницу так как не удалось установить безопасное соединение с сервером". На этом всё.

Подозреваю что дело в "местном интернете - wi-fi".
Может дело в "Let's Encrypt" ?

[shurshur]

47911, нет, дело в местном провайдере или каких-то магистральных по дороге (скорее всего, тоже местных национальных). В LE проблем нет, если специально не накорячиться в настройках (а я слабо верю, что это сделано в продаваемых в ОАЭ iPhone), то всё будет работать повсеместно.

[Vitaly Karasik]

47911, Если он не может нажать на кнопочку "learn more" и прислать - то увы, только телепатия и common sense.

[Alexey Dmitriev]

47911, только если дело в старом айфоне, на котором нет нового корневого сертификата Lets Encrypt

[47911]

Alexey Dmitriev, в РФ открывается нормально.

Vitaly Karasik, У меня нет айфона, нужна подробная инструкция: как это Там выглядет, что из какой вкладки прислать?
(у меня андроид. И т.к. у меня всё открывается, я в РФ, то и не могу быть уверен в инструкциях. Очень желательно со скринами - я то ему буду обьяснять что и откуда мне сфотать и прислать - этот человек очень занятой. Я не могу его дёргать каждые 5 минут)

shurshur, ну у "соседнего сайта с сертификатом от Let's Encrypt и сам сайт явно местный(аналогичный географически, во всяком случае фирма)" - у него по заверениям этого человека - норм.

[Vitaly Karasik]

47911, увы, у меня тоже нет

[47911]

Vitaly Karasik, судя по присланным фото - замка нету в строке браузера.
Также есть вероятность: браузер давно не обновлялся, как и сама ОС.

Собственно: где можно посмотреть пошаговую инструкцию "как посмотреть инфу про сертификат без замка".

*Сайты что открываются - имеют замок.