Seu certificado parece funcionar bem, mesmo no Android, que possui uma política rígida.
Como baseado nos comentários:
- Quase todo mundo vê o certificado agora.
- Você ainda recebe erros.
- O LetsEncypt ainda não pôde validá-lo.
Eu verifiquei seu SOA
serial, que é 2017040741
de ontem e seu TTL
está definido como 24 horas. O problema é que provavelmente existe um endereço IP incorreto no cache DNS do servidor DNS recursivo , bem como o usado pelo LetsEncrypt. (Qualquer um que esteja ajudando você não colocou o cache antes.)
Tente novamente amanhã. A partir daqui, também é possível usar TTL
, por ex. 21600
por 6 horas.
ATUALIZAÇÃO: Ontem, o certificado parecia estar bem, mas agora eu tenho ERR_SSL_PROTOCOL_ERROR
.
Com o modo detalhado de curl
, posso ver o problema real:
curl -v -ipv4 https://steampj.com/
* About to connect() to steampj.com port 443 (#0)
* Trying 213.219.38.44...
* connected
* Connected to steampj.com (213.219.38.44) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
* Closing connection #0
curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Normalmente, você recebe SSL23_GET_SERVER_HELLO
quando há outra coisa ouvindo na porta 443. Na maioria dos casos, isso acontece quando o HTTPD está escutando na porta 443 sem SSL, mas desta vez não é o caso, porque você obtém ERR_INVALID_HTTP_RESPONSE
de link , e como mostra o netcat:
nc -v steampj.com 443
DNS fwd/rev mismatch: steampj.com != li1097-44.members.linode.com
steampj.com [213.219.38.44] 443 (https) open
GET / HTTP/1.1
▒▒▒PuTTY
Como seu nginx
estava ouvindo a porta 443 com base em lsof -OnP | grep LISTEN
, o problema é mais provável na configuração do Nginx.
-
Verifique se você tem outra seção
server {}
desnecessariamente comlisten 443
e remova-a. Também que eu tiveCApath: /etc/ssl/certs
em vez de configurado/home/admin/conf/web/
sugere o mesmo. -
Verifique se você tem
ipv6only=on
. Você tem:server { listen 443 ssl; listen [::]:443 ssl;
De acordo com a documentação do Nginx ngx_http_core_module, na Diretiva
listen
:ipv6only=on|off
this parameter (0.7.42) determines (via the
IPV6_V6ONLY
socket option) whether an IPv6 socket listening on a wildcard address[::]
will accept only IPv6 connections or both IPv6 and IPv4 connections. This parameter is turned on by default. It can only be set once on start.Apesar disso, por padrão, essa opção deve ser
on
, você deve ver se ela está definidaoff
em algum lugar na configuração e atualizar ambas as seçõesserver {
para ter:server { listen 443 ssl; listen [::]:443 ipv6only=on ssl;
Como esse parâmetro só pode ser definido uma vez no início, é crucial ter
on
na configuraçãodefault_server
, o que também afetará maisserver
s.