Я забыл обновить свой сертификат Let's Encrypt, и на моем веб-сайте использовался HPKP.
В настоящий момент я не могу открыть свой веб-сайт, так как там находятся старые закрепленные ключи. Ошибка браузера, которую я получаю (в Firefox): MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
Что мне нужно сделать, чтобы мои посетители снова могли зайти на мой сайт после того, как я обновил сертификат?
Если вы используете certbot клиент, то очевидно, что вы должны были прочитать о HPKP перед включение его.
Клиент Let's Encrypt фактически генерирует новые ключи при выпуске новых сертификатов, независимо от того, истек ли срок их действия или нет, поэтому закрепление ваших ключей никогда не продлится дольше 90 дней, прежде чем вы столкнетесь с проблемами, подобными той, с которой вы столкнулись.
Сейчас лучше всего искать заархивированные ключи в /etc/letsencrypt и используйте тот, который вы закрепили, чтобы вручную сгенерировать CSR, и попросите Let's Encrypt выдать вам сертификат на основе этого CSR (клиент обрабатывает это тоже AFAIK). Затем измените свой HPKP, чтобы вместо этого закрепить сертификат выше в цепочке сертификатов, чтобы он не менялся каждые 90 дней, резко сократите его срок службы до нескольких минут (поскольку я предполагаю, что вы скопировали настройку, которую нашли в Интернете) и как только вы действительно поняли, к чему это приведет, внимательно подумайте, как вы хотите это настроить.