Certificado no válido para algunos usuarios

Buenas,

Escribo aquí puesto que ya no encuentro ninguna solución a mi problema. Uso Plesk para manejar mi alojamiento y recientemente he instalado un nuevo certificado SSL ya que quería cubrir el webmail y tal. A raíz de esto, algunos usuarios y mayoritariamente usuarios de iOS han dejado de poder acceder a la web puesto que la considera como "no segura". He de decir que también hay usuarios con android e incluso usuarios que desde PC no pueden acceder pero aparentemente son un menor número de usuarios. A mi personalmente me funciona todo correctamente, así que no puedo reproducir el fallo por mi mismo.

Puedo leer las respuestas en Inglés (sí o no): SI

Mi dominio es: elpenitente.app

Ejecuté este comando:

Produjo esta salida:

Mi servidor web es (incluya la versión): Plesk Obsidian v18.0.58_build1800240123.15 os_Ubuntu 22.04

El sistema operativo en el que se ejecuta mi servidor web es (incluya la versión): Ubuntu 22.04

Mi proveedor de alojamiento web (si aplica) es: AWS

Puedo iniciar una sesión en una shell root en mi servidor (sí, no o no lo sé): Sí

Estoy usando un panel de control para administrar mi sitio (no o proporcione el nombre y la versión del panel de control): Plesk

La versión de mi cliente es (por ejemplo, si usa certbot, muestre la salida de certbot --version o certbot-auto --version): certbot 1.21.0

Welcome @Raiderpoer

Have you recently added the DNS AAAA record for IPv6? Because SSL Labs cannot connect with IPv6 although IPv4 is fine.

You should review your IPv6 address and configuration. If you do not support IPv6 you should remove the AAAA record.

https://www.ssllabs.com/ssltest/analyze.html?d=elpenitente.app&hideResults=on

There was also a Let's Encrypt change recently to use a shorter chain as the default. This may cause problems for very old Android devices. But, first fix your IPv6 problem

Hello!

I've updated DNS records and now on the SSL Test it shows "Certificate not valid for domain name" on IPv6 analysis... I had the DNS configured only for elpenitente.app and not *.elpenitente.app which I think is necessary since it is configured with wildcard.

Thanks

Are you sure that is the correct IPv6 address? And are you sure your nginx has proper listen statements for IPv6?

Because the cert used for IPv6 starts with wonderful-chatterjee. Do you recognize that?

SSL Labs error is because this name does not match your domain name. It is not related to your wildcard.

echo|openssl s_client -6 -connect elpenitente.app:443 | head
---
Certificate chain
 0 s:CN = wonderful-chatterjee.52-47-41-128.plesk.page
   i:C = US, O = Let's Encrypt, CN = R3
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 15 16:34:10 2024 GMT; NotAfter: Apr 14 16:34:09 2024 GMT

Hello!

The IPv6 address was not correctly associated with the domain. Now it passes the test including the IPv6 address and returns this:

echo|openssl s_client -6 -connect elpenitente.app:443 | head
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = elpenitente.app
verify return:1
DONE
CONNECTED(00000003)
---
Certificate chain
 0 s:CN = elpenitente.app
   i:C = US, O = Let's Encrypt, CN = R3
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Mar  1 22:39:49 2024 GMT; NotAfter: May 30 22:39:48 2024 GMT
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256

I have no way to check if it works correctly on the affected devices at this moment due my local time but for me at least it is progress.

Lo intenté ahora después de las actualizaciones y me parece correcto. Creo que es probable que este sea el problema, porque tener diferentes configuraciones en IPv4 e IPv6 puede causar inconsistencias significativas.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.