<div dir="ltr">Thanks for letting me know.<div>We use letsencrypt and there's an automated renewal mechanism at play, but apparently it doesn't keep up with changing intermediates.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Jan 23, 2021 at 1:15 PM Walter H. <<a href="mailto:Walter.H@mathemainzel.info">Walter.H@mathemainzel.info</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 23.01.2021 13:07, Matus UHLAR - fantomas wrote:<br>
> On 22.01.21 15:32, Alex Rousskov wrote:<br>
>> On 1/22/21 3:10 PM, Walter H. wrote:<br>
>><br>
>>> <a href="https://www.ssllabs.com/ssltest/analyze.html?d=wiki.squid-cache.org" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/analyze.html?d=wiki.squid-cache.org</a><br>
>>> there is an invalid certificate as the intermediate<br>
>><br>
>> FWIW, I see nothing marked as "invalid" on that page, even after<br>
>> clicking on one of the two servers and expanding the "Certification<br>
>> Paths" group. The "certificate" score is 100%/Green.<br>
>><br>
>> The service does show one missing intermediate certificate ("certificate<br>
>> chain is incomplete" and "extra download" annotations), which the<br>
>> service was able to successfully download and validated. This extra work<br>
>> reduced our overall score from A to B AFAICT. This is expected per Squid<br>
>> Project NOC AFAICT.<br>
>><br>
>> It may help if you provide more details about the "invalid" annotations<br>
>> that _you_ see on that report.<br>
><br>
> this may be obsolete info, both server certificate and intermediate were<br>
> signes last synday (Jan 17).<br>
><br>
> I have noticed similar problems for some letsencrypt certificates last<br>
> month. <br>
<br>
the reason:  Let's encrypt changed the interediate, see here: <br>
<a href="https://letsencrypt.org/certificates/" rel="noreferrer" target="_blank">https://letsencrypt.org/certificates/</a><br>
<br>
<a href="https://wiki.squid-cache.org/" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/</a><br>
<br>
got a new SSL certificate but the chain still has the old X3 instead of <br>
R3 ...<br>
<br>
Thanks<br>
<br>
Walter<br>
<br>
<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">    Francesco</div>