フォロー
うーむ、リモートサーバで、Let's Encryptの新しい証明書がエラーになって連合失敗してるとこ、抽出して連絡した方がよさそうだな。気付いてない気がする。
@noellabo 確実に必要なのはISRG Root X1が証明書ストアに入っていることで、libresslとか古いopensslとかではDST Root X3を証明書ストアから消す必要もあります。多くのLinuxの現在サポートされてるバージョンではca-certificatesを更新することでISRG Root X1が入ってDST Root X3が消えそうです。証明書ストアをいじれない場合にはライブラリを更新する必要があります。httpclient gemとか自前の証明書ストアを持ってるライブラリは別途更新するか証明書ストアをいじる必要があります。めんどー
この件、サーバ側で
- ca-certificatesを更新する
- OpenSSL 1.0.2以降に更新する
- DST Root CA X3証明書を無効化する
みたいな感じでいいのかな。
https://beyondjapan.com/blog/2021/10/letsencrypt-dst-root-ca-x3-expiration/
CentOS 6 はさすがにアレなのでCentOS 7 以降あるいはUbuntu 20.04.3 LTSなどに移行する。