Tack till alla våra trogna sponsorer som stöttar och håller Rejsa rullande
Foruminfo/frågor
NET::ERR_CERT_AUTHORITY_INVALID
387 besök totalt
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
Idag gick ett så kallat rootcertifikat ut. Vilket kan ställa till problem för en del.

Här är en lång och väldigt teknisk beskrivning:
https://scotthelme.co.uk/lets-encrypt-old-root-expiration/

Men den korta versionen är att det hänger på datorn/mobilen ni surfar på om den är uppdaterad och inte på Rejsas server. Tyvärr är det inte så enkelt som att bara uppdatera datorn/mobilen för att få det uppdaterade rootcertifikatet.

Ni som har problem, skriv gärna vad för operativsystem/apparat/webläsare ni kör från så jag får någon sorts överblick. Alla uppdaterade Windowsdatorer som jag testat på fungerar som de ska (även äldre Windows 7) men Chrome på en hyfsat ny Android Huawei P3 Pro har inte fått uppdateringen!

_________________
Magnus Thomé
Citera
bmw_ixen
Spring farm
Här sen Nov 2004
Inlägg: 823



Chrome i mobilen kan jag klicka förbi...
Chrome på win 10 Volvo dator kommer inte förbi alls.
Edge på samma burk, varning. Vågar inge klicka förbi.
Explorer, gissa en gång... Volvo it:s application kör där i. Say no more...

_________________
S te fan Be ck er

BMW 320i -06
BMW 2002 Tii -75
BMW 2002 Tii -73 SÅLD
BMW 2002 Projekt -74 SÅLD
BMW 320d -06 SÅLD

SVGK 639
BMWCS 2722
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
Det är inte alls farligt på något sätt att gå vidare till just Rejsa. Men omständigt att behöva klicka sig förbi.


Alla websajter som använder sig av certifikat via Letsencrypt lär vara påverkade av det här felmedelandet. Jag försöker samla på mig mer info. Det verkar finnas olika vägar ("kedjor") som certifikaten verifierar sig från klient upp till rootcertifikaten och eventuellt kan man komma runt det den vägen. Som sagt, jobbar på det

_________________
Magnus Thomé
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare

_________________
Magnus Thomé
Citera
bmw_ixen
Spring farm
Här sen Nov 2004
Inlägg: 823



Opera mini va det många år sen jag körde, men provade nu. Den funkar! :-)

_________________
S te fan Be ck er

BMW 320i -06
BMW 2002 Tii -75
BMW 2002 Tii -73 SÅLD
BMW 2002 Projekt -74 SÅLD
BMW 320d -06 SÅLD

SVGK 639
BMWCS 2722
Citera
Lars Falk
Bromma
Här sen Nov 2002
Inlägg: 13160

<span style='color:red;font:bold'>Moderator</span>
Moderator

På mina PC med Firefox verkar det funka bra.
Med Safari i min urgamla iPhone 6S Plus med ios 14.1.7 funkar det inte.

_________________

Rice and shine
Citera
Role
Ronneby
Här sen Jun 2012
Inlägg: 586



iPhone XR med safari fick jag klicka i massa att jag ville gå vidare ändå första gången för dagen jag loggade in.

_________________
Matthias Karlsson
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
Hoppas det finns möjlighet att på servern peka ut vilken certifikatkedja klienten ska använda så att även ouppdaterade klienter kan hitta det nya rootcertifikatet (för nu letar de själva på den "gamla" o-uppdaterade vägen). Letar i haproxy just nu...

_________________
Magnus Thomé
Citera
dstr
Arboga/Helenelund
Här sen Nov 2002
Inlägg: 5496



Magnus Thomé skrev:
Hoppas det finns möjlighet att på servern peka ut vilken certifikatkedja klienten ska använda så att även ouppdaterade klienter kan hitta det nya rootcertifikatet (för nu letar de själva på den "gamla" o-uppdaterade vägen). Letar i haproxy just nu...


Har svårt att se hur du ska kunna påverka klientens certifikat-path. :/

_________________
/Daniel Azzarri

Älska varje varv!
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
Tog bort det befintliga lokala certifikatet och skulle uppdatera det från Letsencrypt men då hände det här komiska


-# curl https://acme-v02.api.letsencrypt.org/directory
curl: (60) SSL certificate verify result: certificate has expired (10)
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.



Vilket löstes med att uppdatera klienten med att inte peka mot det gamla precis utgångna certifikatet men ändå... lite komiskt var det

_________________
Magnus Thomé
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
TADA!

Tror det funkar nu. Det visade sig att det i haproxy fanns inlagt som authority det utgångna. Så nu funkar det på min Android igen (som ju inte funkade imorse)

_________________
Magnus Thomé
Citera
Lars Falk
Bromma
Här sen Nov 2002
Inlägg: 13160

<span style='color:red;font:bold'>Moderator</span>
Moderator

Funkar även på min gamla iPhone nu.

_________________

Rice and shine
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare
dstr skrev:
Magnus Thomé skrev:
Hoppas det finns möjlighet att på servern peka ut vilken certifikatkedja klienten ska använda så att även ouppdaterade klienter kan hitta det nya rootcertifikatet (för nu letar de själva på den "gamla" o-uppdaterade vägen). Letar i haproxy just nu...


Har svårt att se hur du ska kunna påverka klientens certifikat-path. :/


Webläsaren verkar kolla på tips på kedja från certifikaten på servern... kanske?

https://community.letsencrypt.org/t/r3-intermediate-certificate-has-ex . . . .

Citat:
How do web browsers work when no chain is provided?

They first look at the cert, which usually has a pointer, then in their cache, etc.
They will generally come up with something - it just isn't always the right path.




_________________
Magnus Thomé
Citera
MaZ
Göteborg
Här sen Nov 2002
Inlägg: 18555



iPhone 11 Pro ios 14.7.1, Safari - funkar inte. (This site may try to steal...)
iPhone 11 Pro ios 14.7.1, Chrome - funkar om man klickar förbi.

iPhone 11 Pro ios 14.8, Safari - funkar om man klickar förbi.
iPhone 11 Pro ios 14.8, Chrome - funkar.

iPhone 11 Pro ios 15, Safari - funkar.
iPhone 11 Pro ios 15, Chrome - funkar.

iPhone XR ios 15, Safari - funkar.
iPhone XR ios 15, Chrome - funkar.

edit: meeen, du fixade nåt medans jag uppdaterade till ios15.

_________________
/Mats Strandberg
onemanracing.com

BMW 330i -05
Citera
Magnus Thomé
Stockholm
Här sen Nov 2002
Inlägg: 41417

Forumägare
Forumägare
Trådstartare



_________________
Magnus Thomé
Citera
Foruminfo/frågor
NET::ERR_CERT_AUTHORITY_INVALID
387 besök totalt
Tack till alla våra trogna sponsorer som stöttar och håller Rejsa rullande