当我尝试使用 https 访问我的网站时,我收到以下错误。无论我使用哪种浏览器访问主页,此错误都只会在我的计算机上发生。当我尝试使用另一台计算机访问同一个网站时,一切都正常,我没有收到此错误。我很困惑,因为错误似乎表明日期无效,但日期尚未过期。我应该怎么做才能解决这个问题?
NET::ERR_CERT_DATE_INVALID 主题:www.dimsum.dk
发行人:R3
有效期至:2021 年 12 月 29 日
当前日期:2021 年 9 月 30 日
PEM编码链:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
证书透明度:
SCT DigiCert Yeti2021 日志(嵌入证书,已验证)
SCT Google“Xenon2021”日志(嵌入证书,已验证)
答案1
我昨天刚刚遇到类似的问题 - 我的网络服务器仅提供站点证书,而不是完整的证书链。
有些计算机找到了 R3 证书并且很高兴,但是几台 macOS 计算机找不到新的 R3 证书,而是使用旧证书,该证书于 9 月 29 日(两天前)到期,并且其根 CA(DST Root CA X3)于第二天到期。
新的 R3 证书将于 2025 年到期,由不同的 CA 签名:ISRG Root X1。
您可以检查 Web 服务器正在发送的证书:
openssl s_client -connect www.dimsum.dk:443 -servername dimsum.dk -showcerts
s:/C=US/O=Let's Encrypt/CN=R3
您应该在输出中看到 R3 证书( ),例如
Certificate chain
0 s:/CN=www.dimsum.dk
i:/C=US/O=Let's Encrypt/CN=R3
-----BEGIN CERTIFICATE-----
MIIFIDCCBAigAwIBAgISBFTpIRdz8BnEJ1HmwjjelP48MA0GCSqGSIb3DQEBCwUA
...
GWjksODOm3vblUBhcgfrBuBMpFE=
-----END CERTIFICATE-----
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
-----BEGIN CERTIFICATE-----
MIIFFjCCAv6gAwIBAgIRAJErCErPDBinU/bWLiWnX1owDQYJKoZIhvcNAQELBQAw
...
nLRbwHOoq7hHwg==
-----END CERTIFICATE-----
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
MIIFYDCCBEigAwIBAgIQQAF3ITfU6UK47naqPGQKtzANBgkqhkiG9w0BAQsFADA/
...
Dfvp7OOGAN6dEOM4+qR9sdjoSYKEBpsr6GtPAQw4dy753ec5
-----END CERTIFICATE-----
这里没有列出到期日期,但请注意,R3 证书由 ISRG Root X1 证书颁发,并且证书的 Base64 顶部和尾部应该与此处的内容相匹配 - 至少在未来几年内。
答案2
当我尝试使用 https 访问我的网站时,我收到以下错误。无论我使用哪种浏览器访问主页,此错误只会在我的计算机上发生。
我将根据经验猜测您的系统时间实际上是准确的,但由于您所在的时区、您的系统时间,浏览器报告证书无效。您的证书无效的原因是由于根证书颁发机构 (CA) 证书 (DST 根 CA X3) 签署的证书将于今天到期。
解决方案是手动安装ISRG 根 X1证书已添加到您设备上的证书存储中。截至今天(2021 年 9 月 30 日),ISRG 根 X1取代DST 根 CA X3。您无需执行任何操作。在受支持的操作系统上运行当前版本的 Chrome 应该已经信任 ISRG Root X1 证书。如果证书仍然不受信任。我只需将证书手动安装到证书存储区即可。
您可以在命令提示符中使用以下命令手动导入证书:
ertutil -ent -addstore Root isrgrootx1.der
来源:Windows7 上的 DST Root CA X3 已过期。我需要安装哪些更新?有解决方法吗?
明确地说,我的建议是手动安装这,使用提供的命令。
Let's Encrypt 有以下建议:
如果您遇到与证书链相关的问题,您应该首先检查您的配置,并确保您的服务器/网站/设备正在发送由 ISRG Root X1 签名的更新的 R3 中间件的正确链。您不太可能需要强制续订来解决与 DST Root CA X3 签名的 R3 到期相关的问题。此主题和社区中的许多其他主题提供了审查和解决此问题的建议。
今天早些时候,DST Root CA X3 按计划到期。大多数与 DST Root CA X3 到期相关的问题都无法通过强制续订来解决。请在打开新主题之前搜索论坛和此主题以获取帮助来解决您遇到的问题。
您可能很幸运地删除了系统中 fullchain.pem(或适当命名的文件)中包含的无效链。您需要删除文件中最后一个条目,该条目应该是 的链DST Root CA X3
。如果在手动安装正确的证书后,客户端仍然不信任您的网站,那么问题就出在 Web 服务器的配置上。
您可能能够通过强制更新证书并使用以下缩写命令明确指示首选链来解决该问题。
certbot renew --force-renewal --preferred-chain "ISRG Root X1"
来源:目录访问问题
答案3
强制更新您的 Let's Encrypt 证书。
您可以强制更新主机上的 Let's Encrypt 证书,这样应该可以解决问题。
虽然这里的其他答案很好地描述和解释了潜在的问题,但强制更新证书应该可以解决这个问题。
www.dimsum.dk
尝试在如下托管服务器上运行此 certbot 命令:
certbot certonly --force-renewal --cert-name www.dimsum.dk
是的,可以更新客户端根证书链以在客户端处理此问题,在该网站的实际主机上更新证书应该可以解决此问题。
确保重新启动 Web 服务器(Apache 或 Nginx),然后一切就绪。但如果不是这种情况,当然请发表评论。
答案4
首先,昨天在 LetsEncrypt 论坛上有很多关于 Mac 和 Apple 上相同问题的报告。对于这个特定案例,结果发现问题与启动服务器脚本中的错误配置有关。请参阅此处了解完整详情
https://community.letsencrypt.org/t/net-err-cert-date-invalid/161001/19