#41034 – Браузер не доверяет сертификатам Let's Encrypt

Bug 41034 - Браузер не доверяет сертификатам Let's Encrypt

Summary: Браузер не доверяет сертификатам Let's Encrypt

Status:	CLOSED NOTABUG

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	firefox (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 critical
Assignee:	Alexey Gladkov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2021-09-30 18:34 MSK by Alexei Takaseev
Modified:	2021-10-01 11:28 MSK (History)
CC List:	6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Alexei Takaseev 2021-09-30 18:34:42 MSK

$ rpm -qa| grep firefox| sort
firefox-92.0.1-alt1.x86_64

С 30/09/2021 14:00 UTC браузер перестал доверять сертификатам Let's Encrypt с диагностикой "Издатель сертификата узла не распознан."


При этом те же сайты через chromium открываются без проблем. так же и через curl

Comment 1 Alexey Gladkov 2021-09-30 18:49:00 MSK

Сайт: https://mozilla-russia.org
Сертификат Let's Encrypt. Открывается у меня нормально.

А у вас ?

Comment 2 Gleb F-Malinovskiy 2021-09-30 18:50:52 MSK

АУМВР.

$ rpm -q firefox
firefox-92.0.1-alt1.x86_64

Это точно со всеми сайтами с сертификатами LE так происходит у вас?

Comment 3 Alexei Takaseev 2021-09-30 19:15:46 MSK

Проблема у всех сайтов с LE

Проверил на рабочем компе, где тоже Сизиф и та же версия FF, и таки там работает!

Куда нужно смотреть на проблемной машине, чтобы отловить причину неработы?

Comment 4 Alexei Takaseev 2021-09-30 19:19:21 MSK

Удаление и пересоздание пользовательского профиля не помогает. Где не работало там и не работает, где работало, продолжает работать с чистым профилем.

Comment 5 Gleb F-Malinovskiy 2021-09-30 19:29:25 MSK

А какая альтернатива используется для libnssckbi.so?
Что показывает
$ realpath /usr/lib64/libnssckbi.so
?

Если p11-kit-trust.so, то можно попробовать сделать то, что должен делать ca-trust.filetrigger:

# update-ca-trust extract

Comment 6 Gleb F-Malinovskiy 2021-09-30 19:31:02 MSK

Хотя, если curl работает, значит системный trust достаточно правильный.

Comment 7 Alexei Takaseev 2021-09-30 19:34:10 MSK

(Ответ для Gleb F-Malinovskiy на комментарий #5)
> А какая альтернатива используется для libnssckbi.so?
> Что показывает
> $ realpath /usr/lib64/libnssckbi.so
> ?

В нерабочей системе:

$ realpath /usr/lib64/libnssckbi.so
/usr/lib64/libnssckbi.so.alternatives_save

В рабочей:
$ realpath /usr/lib64/libnssckbi.so
/usr/lib64/pkcs11/p11-kit-trust.so


И там и там p11-kit-trust стоит.

Проблема вылечилась через

apt-get install --reinstall p11-kit-trust

Comment 8 Dmitry V. Levin 2021-10-01 11:28:09 MSK

(In reply to Alexei Takaseev from comment #7)
> (Ответ для Gleb F-Malinovskiy на комментарий #5)
> > А какая альтернатива используется для libnssckbi.so?
> > Что показывает
> > $ realpath /usr/lib64/libnssckbi.so
> > ?
> 
> В нерабочей системе:
> 
> $ realpath /usr/lib64/libnssckbi.so
> /usr/lib64/libnssckbi.so.alternatives_save

Интересно, как такое могло получиться.
В любом случае firefox тут не при чём.