Vlákno názorů k článku Kořen Let's Encrypt na konci měsíce vyprší, dotkne se to starších klientů od pet I. - Mám sice openssl-1.0.2r, ale certifikáty mám DST_Root_CA_X3.crt i...

Mám sice openssl-1.0.2r, ale certifikáty mám DST_Root_CA_X3.crt i ISRG_Root_X1.crt. To je myslím v pořádku, že?

Podle článku na OpenSSL.org to v pořádku nebude. Knihovna si všimne, že jedna z cest expirovala a vyhlásí chybu. Je nutné ten neplatný certifikát odebrat, aby se brala v potaz jen funkční cesta.

Unfortunately this does not apply to OpenSSL 1.0.2 which always prefers the untrusted chain and if that chain contains a path that leads to an expired trusted root certificate (DST Root CA X3), it will be selected for the certificate verification and the expiration will be reported.

Takže na Debianu upravit /etc/ca-certificates.conf

!mozilla/DST_Ro­ot_CA_X3.crt

(přidat !) a pak

sudo update-ca-certificates

a hotovo?

Celkem jednoduše si to zkontrolujte třeba https://www.sslshopper.com/ssl-checker.html - zobrazí celý chain, který posílá server, tam by ten X3 certifikát být neměl.
Nebo z shellu:
openssl s_client -connect host:port -showcerts </dev/null|certtool -i|less
Mě k tomu dokopal Nagios, začal si stěžovat na expirující element 4.