signer certificate not found после обновления

raven_kg на megaline.kg raven_kg на megaline.kg
Пт Май 17 11:49:09 UTC 2019


Приветствую.

Обновил Nginx c 1.14 до 1.16, посыпались ошибки в лог

2019/05/17 11:22:50 [error] 2487#2487: OCSP_basic_verify() failed (SSL: 
error:27FFF076:OCSP routines:CRYPTO_internal:signer certificate not 
found) while requesting certificate status, responder: 
ocsp.int-x3.letsencrypt.org, peer: 2.21.33.128:80, certificate: 
"/etc/pki/letsencrypt/домен/fullchain.cer"
2019/05/17 11:33:46 [error] 2487#2487: OCSP_basic_verify() failed (SSL: 
error:27FFF076:OCSP routines:CRYPTO_internal:signer certificate not 
found) while requesting certificate status, responder: 
ocsp.int-x3.letsencrypt.org, peer: 23.203.249.34:80, certificate: 
"/etc/pki/letsencrypt/домен/fullchain.cer"

Сайты (их, к слову, куда больше чем один) при этом продолжают работать. 
fullchain.cer содержит и сертификат домена и промежуточный сертификат.

Откатываюсь обратно на 1.14.2 - ошибки пропадают. С чем может быть 
связано такое изменение поведения?

Часть конфига, ответственная за SSL:

     # SSL
     ssl_certificate_key /etc/pki/letsencrypt/домен/домен.key;
     ssl_certificate /etc/pki/letsencrypt/домен/fullchain.cer;
     ssl_stapling on;
     ssl_stapling_verify on;
     ssl_trusted_certificate /etc/pki/letsencrypt/домен/fullchain.cer;


P.S. Вот на такой обновляюсь:

    nginx version: nginx/1.16.0 (Custom)
    built with LibreSSL 2.9.1
    TLS SNI support enabled
    configure arguments: --build='Custom' --prefix=/usr/share/nginx
    --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules
    --conf-path=/etc/nginx/nginx.conf
    --error-log-path=/var/log/nginx/error_log
    --http-log-path=/var/log/nginx/access_log
    --http-client-body-temp-path=/var/lib/nginx/tmp/client_body
    --http-proxy-temp-path=/var/lib/nginx/tmp/proxy
    --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi
    --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi
    --http-scgi-temp-path=/var/lib/nginx/tmp/scgi
    --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx
    --user=nginx --group=nginx --with-file-aio --with-threads
    --with-http_ssl_module --with-http_v2_module
    --with-http_v2_hpack_enc --with-http_realip_module
    --with-http_addition_module --with-http_xslt_module=dynamic
    --with-http_image_filter_module=dynamic
    --with-http_geoip_module=dynamic --with-http_sub_module
    --with-http_dav_module --with-http_flv_module --with-http_mp4_module
    --with-http_gunzip_module --with-http_gzip_static_module
    --with-http_random_index_module --with-http_secure_link_module
    --with-http_degradation_module --with-http_slice_module
    --with-http_stub_status_module --with-http_perl_module=dynamic
    --with-mail=dynamic --with-mail_ssl_module --with-pcre
    --with-pcre-jit --with-stream=dynamic --with-stream_ssl_module
    --with-google_perftools_module --with-debug
    --add-dynamic-module=headers-more-nginx-module-0.33
    --add-dynamic-module=ngx_devel_kit-0.3.1rc1
    --add-dynamic-module=lua-nginx-module-0.10.15
    --add-dynamic-module=nginx-eval-module-master
    --add-dynamic-module=ngx_brotli --with-ld-opt='-L/opt/libressl/lib
    -Wl,-rpath=/opt/libressl/lib -lrt -lcrypto -lssl -ltls -Wl,-z,relro
    -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -Wl,-E'
    --with-cc-opt='-DNGX_LUA_ABORT_AT_PANIC -I/opt/libressl/include -O2
    -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions
    -fstack-protector-strong --param=ssp-buffer-size=4
    -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1
    -m64 -mtune=generic -DTCP_FASTOPEN=23'

----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20190517/dc53477f/attachment.html>


Подробная информация о списке рассылки nginx-ru