Breve descripción

Algunas instancias de VPS pueden estar experimentando errores de certificado caducado debido a un Let's Encrypt con firma cruzada DST Root CA X3 caducado. Es posible que las instancias que ejecutan los siguientes sistemas operativos no puedan conectarse a servidores que usan certificados de Let's Encrypt. Es posible que estos sistemas operativos tampoco puedan acceder a los puntos finales de Let's Encrypt para emitir o renovar certificados después del 30 de septiembre de 2021:

  • CentOS y RHEL 7 o inferior.

  • Ubuntu 16.04 o inferior.

  • Debian 8 o inferior.

Por motivos de compatibilidad, los certificados de Let's Encrypt utilizan de forma predeterminada una cadena de certificados que está firmada de forma cruzada por el certificado DST Root CA X3 que expiró el 30 de septiembre de 2021.

Con OpenSSL 1.0.2, siempre se prefiere la cadena que no es de confianza. Esto significa que se ve el certificado caducado y se desconfía de toda la cadena como caducada. Los servidores con la versión afectada de OpenSSL y el certificado DST Root CA X3 en su almacén raíz no pueden emitir ni renovar certificados de Let's Encrypt. Los servidores afectados tampoco pueden acceder a los servidores que los están utilizando.

¿Cómo se ve el error?

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html

¿Como arreglarlo?

El problema se puede solucionar fácilmente conectándote a tu VPS a través de SSH y usando uno de los comandos a continuación, según su sistema operativo:

CentOS 6

yum update openssl*

CentOS 7

yum update ca-certificates

Debian/Ubuntu

apt-get install libgnutls-openssl27


o

sed -i 's#mozilla/DST_Root_CA_X3.crt#!mozilla/DST_Root_CA_X3.crt#' /etc/ca-certificates.con
¿Encontró su respuesta?