<div dir="ltr"><font face="arial, sans-serif">A couple of days ago, three of our Ubuntu server received an unattended update in which the</font><font face="monospace"> ca-certificates.crt</font><font face="arial, sans-serif"> file was updated. </font><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">One of the changes was the removal of the </font><span style="color:rgb(0,0,0);font-size:13px"><font face="monospace">DST Root CA X3</font><font face="arial, sans-serif"> root-certificate. This certificate is used as a root by Let's Encrypt certificates, and is almost expiring.</font></span></div><div><font color="#000000" face="arial, sans-serif"><span style="caret-color: rgb(0, 0, 0);"><br></span></font></div><div><font face="arial, sans-serif"><font color="#000000"><span style="caret-color: rgb(0, 0, 0);">From what I read about the subject (</span></font><a href="https://scotthelme.co.uk/lets-encrypt-old-root-expiration/">https://scotthelme.co.uk/lets-encrypt-old-root-expiration/</a>) this was planned, and the idea was that the </font><font face="monospace">ISRG Root X1</font><font face="arial, sans-serif"> certificate which signs an alternate chain for Let's Encrypt certificates, will take over. </font></div><div><font face="arial, sans-serif">However, some trickery was applied to make the </font><font face="monospace">ISRG Root X1</font><font face="arial, sans-serif"> have an extended lifetime.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">What I do know, is that the Erlang SSL implementation does not seem to accept Let's Encrypt certificates anymore with </font><font face="monospace">{ verify, verify_peer }</font><font face="arial, sans-serif"> since the update.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Fetching the same resource from the command line with, say, </font><font face="monospace">curl</font><font face="arial, sans-serif">, does not cause any problems.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Has anyone else seen this issue? Is there a solution?</font><br><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div>Jeroen Koops</div><div><br></div><div>M: <a href="mailto:koops.j@gmail.com" target="_blank">koops.j@gmail.com</a></div><div>T: +31-6-55590300</div></div></div></div>