Problemas de acesso SSL, algum relato com vocês?

[Max Rodrigues]

Olá pessoal, hoje me deparei com uma notícia sobre o SSL em que o certificado raiz mais antigo (DST Root CA X3) – cadeia utilizada pela Let’s Encrypt expirou e causará muitos problemas.

De inicio é para dispositivos e sistemas operacionais antigos e agora a tarde me deparei já com 4 clientes alegando falha no ssl. (todos windows 7)

Alguém passando por isso e uma possível solução?

[adamkain]

Ahhh então era isso!!! Pqp... kkkkkk
Passei por isso com alguns clientes hoje tbm e não sabia o motivo.
Um dos meu clientes começou a reclamar q o iPhone 6 dele não parava de exibir a msg na tela "Cannot Verify Server Identity"...
O outro q usa Windows 7, ao acessar o site ou webmail aparecia a aviso do navegador sobre ssl invalido, mas quando eu acessava daqui, funcionava normalmente... Até achei que pudesse ser a data e hora na placa mãe dele e falei pra chamar um tecnico lá pra verificar.

Entrei no cPanel e rodei o Auto SSL para o cliente do iPhone... Não se foi isso, mas ele disse q simplesmente parou de dar essa msg após umas horas...

[Visitante]

Aqui mesmo rodando continua erro no lets, mudou para outro?

[DELTA SERVERS]

Boa noite,

Para contornar o problema, deve corrigir manual.

Deve verificar se o CA Certificates está na versão 2021.2.50-72.el7_9, basta executar o comando: 

rpm -q ca-certificates

Se receber uma versão inferior a relatada acima, execute o comando:

yum -y update ca-certificates

Em servidores que executam CentOS 7, 8, CloudLinux 7 ou superior, isso foi resolvido com as atualizações mais recentes do sistema operacional.

 

 

Não funcionou é agora? Essa gambiarra é para agilizar a correção dos antigos domínios, já que os novos já estariam em conformidade.

1º - Deve ir no cPanel pesquisar SSL/TLS.

2º - Cliquei em gerar, visualizar, carregar ou excluir Certificados SSL.
Retire todos os vencidos, deixei apenas o mais novo que irá expirar em três meses.

3º - Voltei para SSL/TLS e cliquei em Gerenciar sites SSL.

 

4º - Cliquei em Selecionar um domínio, coloquei o domínio + subdomínio e instalei abaixo.
Ele vai listar o novo SSL com o vencimento cujo deixou na opção 2º.

 

 

 

 

[chuvadenovembro]

Pois é, a principio aqui a única solução foi selecionar e reinstalar o certificado manualmente na conta de hospedagem, e aqui tive problemas em servidores cpanel e plesk. 

[DELTA SERVERS]

Bom dia,

O cPanel já lançou uma gambiarra: https://support.cpanel.net/hc/en-us/articles/4409770365335

[Max Rodrigues]

Bom dia, 

Infelizmente aqui ainda passando por problemas.

To usando cwp

Editado Outubro 1, 2021 por Max Rodrigues
removi a info. sobre zero ssl, é só 3 ssl free... :(

[Visitante]

Em 01/10/2021 em 09:07, DELTA SERVERS disse:

Bom dia,

O cPanel já lançou uma gambiarra: https://support.cpanel.net/hc/en-us/articles/4409770365335

Eu alterei do lets para o do cPanel porém agora ao voltar da erro de api resolveu como?

[NullRoute]

Pessoal, pesquisando pelos fóruns da vida encontrei o seguinte (Windows 7 | Outlooks antigos).
Baixem o arquivo que anexei, duplo clique e confirmem que deseja instalar.

Citar

 

The only "bug" is that Windows 7 is too old to get security updates. Let's Encrypt may be the most well-known issuer of certificates, but it's really nothing specific to them. As roots expire, old systems that aren't getting security (including trust store) updates will have less and less access to the Internet. The only possible "fix" is to update to a supported platform. If Firefox still runs on Windows 7, you could try that since it uses its own trust store. Or, you can try using another CA, but that will just defer the problem until whichever root that CA has in the old trust store also expires.

In terms of specific steps to install the root (though this is from memory so I might be missing a step):

1. Download https://letsencrypt.org/certs/isrgrootx1.pem (which may involve clicking through warnings, I guess, as you don't currently trust the root)
2. Rename the file from isrgrootx1.pem to isrgrootx1.crt.
3. Double-click the file.
4. It should ask you to confirm that you want to add the certificate to the root store. You probably should check the thumbprint against some known-good source first here, too, but I'm not sure what a good source for that would be that you could reliably trust from such an old system.

I'm guessing somebody could put together a Powershell or batch file to simplify that somewhat. But again, you're just masking the problem of not getting security updates, and shouldn't actually consider any such system secure for anything.

 

 

isrgrootx1.crt

[chuvadenovembro]

Acho que ainda vamos ter repercurção desse problema por um tempo.

Tentando atualizar o cxs aqui:

Citar

wget https://download.configserver.com/cxsinstaller.tgz
--2021-10-01 20:44:09-- https://download.configserver.com/cxsinstaller.tgz
Resolving download.configserver.com... 94.130.90.175
Connecting to download.configserver.com|94.130.90.175|:443... connected.
ERROR: cannot verify download.configserver.com’s certificate, issued by “/C=US/O                                      =Let's Encrypt/CN=R3”:
  Issued certificate has expired.
To connect to download.configserver.com insecurely, use ‘--no-check-certificate’