<div dir="ltr"><div>I renewed my cert though and now have the updated trust chain with no expired intermediate certificates.</div><div><br></div><div>I use the exact same full chain PEM file also in Nginx, and Qualys SSL tester would pick up issues like expired intermediates, everything passes as valid with the tester - no chain issues. It couldn't possibly be the cert chain itself.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 18, 2021 at 10:41 AM Evgeniy Khramtsov <<a href="mailto:xramtsov@gmail.com">xramtsov@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">This is not an error, that's because the issuer's certificate has expired at September 29.<div dir="auto"><br></div><div dir="auto">See <a href="https://community.letsencrypt.org/t/production-chain-changes/150739" target="_blank">https://community.letsencrypt.org/t/production-chain-changes/150739</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пн, 18 окт. 2021 г., 1:36 Alex <<a href="mailto:alexrhtc@gmail.com" target="_blank">alexrhtc@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi Tamer,</div><div><br></div><div>On FreeBSD, I believe this is the <span style="font-family:monospace"><span style="color:rgb(0,0,0);background-color:rgb(255,255,255)">ca_root_nss package. It is up to date on my system.</span></span></div><div><span style="font-family:monospace"><span style="color:rgb(0,0,0);background-color:rgb(255,255,255)"><br></span></span></div><div><span style="font-family:monospace">My cert bundle doesn't contain any expired certs so I can only assume that this log warning from Ejabberd is erroneous.<br></span></div><div><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><br></span></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Oct 17, 2021 at 8:27 PM Tamer Higazi <<a href="mailto:th982a@googlemail.com" rel="noreferrer" target="_blank">th982a@googlemail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Alex,<br>
<br>
Try to update the CA list on FreeBSD.<br>
Same thing I had on my gentoo machine. don't know why ....<br>
<br>
best, Tamer<br>
<br>
Am 10/17/21 um 5:18 AM schrieb Alex:<br>
> Hi All,<br>
><br>
> I am running Ejabberd 21.07 on FreeBSD.<br>
><br>
> I am seeing a strange warning in my server logs, even after renewing <br>
> my certificate (CA is Letsencrypt)<br>
><br>
> 2021-10-17 14:02:07.980333+11:00 [warning] <br>
> <0.295.0>@ejabberd_pkix:log_warnings/1:393 Invalid certificate in <br>
> /usr/local/etc/letsencrypt/live/mydomain.net-0001/fullchain.pem: at <br>
> line 65: certificate is no longer valid as its expiration date has passed<br>
><br>
> I am aware that Letsencrypt did recently have an expired intermediate <br>
> (R3) however I believe my cert bundle is currently fine as I renewed <br>
> it - my web server uses the same pem and it scores an A+ on the qualys <br>
> ssl tester with no chain/trust issues.<br>
><br>
> When I look at the cert that Ejabberd is complaining about on line 65 <br>
> using openssl x509, it shows:<br>
><br>
>   Certificate:<br>
>     Data:<br>
>         Version: 3 (0x2)<br>
>         Serial Number:<br>
>             40:01:77:21:37:d4:e9:42:b8:ee:76:aa:3c:64:0a:b7<br>
>         Signature Algorithm: sha256WithRSAEncryption<br>
>         Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3<br>
>         Validity<br>
>             Not Before: Jan 20 19:14:03 2021 GMT<br>
>             Not After : Sep 30 18:14:03 2024 GMT<br>
>         Subject: C = US, O = Internet Security Research Group, CN = <br>
> ISRG Root X1<br>
><br>
> 2024... It is certainly NOT expired, Is this an erroneous log message? <br>
> A client who connects using the Pidgin XMPP client is reporting they <br>
> get an invalid cert error when connecting, but I have no issues <br>
> connecting using the same client (I am on Linux, however the person <br>
> with the issue is on Windows).<br>
><br>
> Thanks!<br>
> A.<br>
><br>
><br>
><br>
> _______________________________________________<br>
> ejabberd mailing list<br>
> <a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
> <a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" rel="noreferrer" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>
_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru" target="_blank">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" rel="noreferrer" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</blockquote></div>