<div dir="ltr"><div class="gmail_default" style="font-size:large">I've seen this when both paths are legit but something in the chain is expired ( Sectigo did this the other year) and openssl or whatever library uses the wrong one. Verify the old root is no longer installed and the new one is. You may even have a hash collision.  I *think* that solves it? </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Oct 17, 2021 at 10:16 PM Alex <<a href="mailto:alexrhtc@gmail.com">alexrhtc@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">I think I know whats happening here.<br><br>Everything passes in Qualys, but check out this screenshot of the certification paths:<br><br><a href="https://prnt.sc/1wk4lyy" target="_blank">https://prnt.sc/1wk4lyy</a><br><br>I suspect what is happening is that both certification paths fail for Ejabberd because it doesnt recognise the "ISRG Root X1" certificate as trusted for some reason, so it is trying the second path and finds an expired root certificate.<br><br>The ISRG Root X1 is listed in the ca_root_nss store on my server:<br>-----------<br>       Version: 3 (0x2)<br>       Serial Number:<br>           82:10:cf:b0:d2:40:e3:59:44:63:e0:bb:63:82:8b:00<br>       Signature Algorithm: sha256WithRSAEncryption<br>       Issuer: C = US, O = Internet Security Research Group, CN = ISRG Root X1<br>       Validity<br>           Not Before: Jun  4 11:04:38 2015 GMT<br>           Not After : Jun  4 11:04:38 2035 GMT<br><div>       Subject: C = US, O = Internet Security Research Group, CN = ISRG Root X1</div><div>-----------<br></div><div>I am unsure why Ejabberd has an issue with the first certification path... Could it be due to key being 4096 bits instead of 2048?</div><div><br></div><div><div><span style="font-family:monospace"><span style="color:rgb(255,255,255);background-color:rgb(0,0,0)"><br></span></span></div><div><span style="font-family:monospace"><span style="color:rgb(255,255,255);background-color:rgb(0,0,0)"></span><br></span></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 18, 2021 at 12:39 PM Jonathan Siegle <<a href="mailto:jsiegle@gmail.com" target="_blank">jsiegle@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-size:large">Can you provide your -hash  -issuer_hash -dates output? Also, if you are convinced that the chain is good, then erlang/ejabberd may be looking at something different.  The doc claims that it was cross signed with a different root to live beyond September 2021.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Oct 17, 2021 at 9:04 PM Alex <<a href="mailto:alexrhtc@gmail.com" target="_blank">alexrhtc@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I renewed my cert though and now have the updated trust chain with no expired intermediate certificates.</div><div><br></div><div>I use the exact same full chain PEM file also in Nginx, and Qualys SSL tester would pick up issues like expired intermediates, everything passes as valid with the tester - no chain issues. It couldn't possibly be the cert chain itself.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 18, 2021 at 10:41 AM Evgeniy Khramtsov <<a href="mailto:xramtsov@gmail.com" target="_blank">xramtsov@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="auto">This is not an error, that's because the issuer's certificate has expired at September 29.<div dir="auto"><br></div><div dir="auto">See <a href="https://community.letsencrypt.org/t/production-chain-changes/150739" target="_blank">https://community.letsencrypt.org/t/production-chain-changes/150739</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пн, 18 окт. 2021 г., 1:36 Alex <<a href="mailto:alexrhtc@gmail.com" target="_blank">alexrhtc@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi Tamer,</div><div><br></div><div>On FreeBSD, I believe this is the <span style="font-family:monospace"><span style="color:rgb(0,0,0);background-color:rgb(255,255,255)">ca_root_nss package. It is up to date on my system.</span></span></div><div><span style="font-family:monospace"><span style="color:rgb(0,0,0);background-color:rgb(255,255,255)"><br></span></span></div><div><span style="font-family:monospace">My cert bundle doesn't contain any expired certs so I can only assume that this log warning from Ejabberd is erroneous.<br></span></div><div><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><br></span></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Oct 17, 2021 at 8:27 PM Tamer Higazi <<a href="mailto:th982a@googlemail.com" rel="noreferrer" target="_blank">th982a@googlemail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi Alex,<br>
<br>
Try to update the CA list on FreeBSD.<br>
Same thing I had on my gentoo machine. don't know why ....<br>
<br>
best, Tamer<br>
<br>
Am 10/17/21 um 5:18 AM schrieb Alex:<br>
> Hi All,<br>
><br>
> I am running Ejabberd 21.07 on FreeBSD.<br>
><br>
> I am seeing a strange warning in my server logs, even after renewing <br>
> my certificate (CA is Letsencrypt)<br>
><br>
> 2021-10-17 14:02:07.980333+11:00 [warning] <br>
> <0.295.0>@ejabberd_pkix:log_warnings/1:393 Invalid certificate in <br>
> /usr/local/etc/letsencrypt/live/mydomain.net-0001/fullchain.pem: at <br>
> line 65: certificate is no longer valid as its expiration date has passed<br>
><br>
> I am aware that Letsencrypt did recently have an expired intermediate <br>
> (R3) however I believe my cert bundle is currently fine as I renewed <br>
> it - my web server uses the same pem and it scores an A+ on the qualys <br>
> ssl tester with no chain/trust issues.<br>
><br>
> When I look at the cert that Ejabberd is complaining about on line 65 <br>
> using openssl x509, it shows:<br>
><br>
>   Certificate:<br>
>     Data:<br>
>         Version: 3 (0x2)<br>
>         Serial Number:<br>
>             40:01:77:21:37:d4:e9:42:b8:ee:76:aa:3c:64:0a:b7<br>
>         Signature Algorithm: sha256WithRSAEncryption<br>
>         Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3<br>
>         Validity<br>
>             Not Before: Jan 20 19:14:03 2021 GMT<br>
>             Not After : Sep 30 18:14:03 2024 GMT<br>
>         Subject: C = US, O = Internet Security Research Group, CN = <br>
> ISRG Root X1<br>
><br>
> 2024... It is certainly NOT expired, Is this an erroneous log message? <br>
> A client who connects using the Pidgin XMPP client is reporting they <br>
> get an invalid cert error when connecting, but I have no issues <br>
> connecting using the same client (I am on Linux, however the person <br>
> with the issue is on Windows).<br>
><br>
> Thanks!<br>
> A.<br>
><br>
><br>
><br>
> _______________________________________________<br>
> ejabberd mailing list<br>
> <a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
> <a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>