Почему сертификат letsencrypt считается недостоверным?

Question

[Pavel]

Делал по инструкции, но случайно не сделал первый пункт с .well-known , после чего добавил единый файл и обновил сертификаты.
Выскочило сообщение,что всё ок

Перезагрузил nginx, пытаюсь подключится к сайту и вижу что сертификат обновился(делал по инструкции вчера и сертификат истекал 26 сентября,здесь же 27), но всё равно считается недостоверным...Как его подтвердить?

Пример nginx конфига

server {
    listen 192.168.47.64:80;
    server_name example.com www.example.com;
    # enforce https
    return 301 https://$server_name$request_uri;

    if ($scheme != "https") {
       return 301 https://$host$request_uri;
    }
}
server {
    listen 192.168.47.64:443;
    server_name example.com www.example.com;
    ssl on;
    ssl_certificate /etc/certbot/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/certbot/live/example.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        root /srv/www/example.com;
    }
    include letsencrypt.conf;

 #   if ($scheme != "https") {
  #      return 301 https://$host$request_uri;
   # }
}

Ошибка в браузере


Информация о сертификате

Не знаю,что она может вам дать

Результат проверки SSLSHopper


Проглядел в настройках конфига строчку с тестовым сервером...Проблема решена,всем спасибо!!

Answer 1

[Slava Kryvel]

а почему он считается недостоверным? какую именно ошибку выдает браузер?

Comments

[Pavel]

говорит что не подтверждён сертификат.Как будто он self-signed

[Slava Kryvel]

а информации к сертификату что написано? кем он подписан? можно посмотреть скрин хотябы?
в Chrome: DevTools - вкладка Security и там информация о сертификате

[Pavel]

Slava Kryvel: приложил

[Slava Kryvel]

Павел Тананыхин: у Вас для подписи используется тестовый сервер а не основной.
вот здесь об этом написано: https://community.letsencrypt.org/t/cn-fake-le-int...
правда там про обновление идет речь, но смысл в том что нужно в конфиге посмотреть какой у Вас сервер стоит для подписи
вот еще линк
serverfault.com/questions/767723/letsencrypt-certi...

Answer 2

[Андрей Михалёв]

но случайно не сделал первый пункт с .well-known

Если вы не прошли процедуру проверки, то сертификат ваш не подписан, а значит доверия к нему нет.
поможет только перевыпуск сертификата.

Comments

[Pavel]

Перевыпустил, результат такой же.

[Андрей Михалёв]

Павел Тананыхин: не может быть, покажи кем подписан сертификат

[Pavel]

Андрей Михалёв: прикладываю результат проверки sslshopper - а

Answer 3

[Sanes]

Проблема с датой возможна из-за перекоса часовых поясов, как вариант. А недостоверным может быть из-за неправильной настройки веб-сервера. Весной была у меня проблема в Opera новой.
Если не ошибаюсь, то есть вариант отозвать сертификат и создать новый. Или тупо создать новый.

Comments

[Pavel]

проблем с датой нет, там я указывал лишь то,что сертификат подхватился nginx-ом.

[Pavel]

Проверял на сайте https://www.ssllabs.com/ ,там указано что он не подтверждённый.

[Sanes]

Павел Тананыхин: Сертификат пересоздайте. Через отзыв или просто новый. Классно я придумал?

Answer 4

[Sergi0Limit]

https://community.letsencrypt.org/t/sec-error-unkn... читали?
у меня была похожая проблема но c iis https://community.letsencrypt.org/t/iis-8-5-buildi...
проблема была в не соответствии цепочки подписантов и решалась их заменой.

Comments

[Pavel]

сейчас гляну