AT
по логам не ругается, все чисто у нас весь stdout собирается со всего.
Size: a a a
2020 November 13
AL
по логам не ругается, все чисто у нас весь stdout собирается со всего.
Как бы кинь ямл ингреса который ты закидываешь
AL
+ я не очень понимаю что знаяит «первый» «второй» сертификат
AT
Server Key and Certificate #1
Subject Kubernetes Ingress Controller Fake Certificate
Fingerprint SHA256: 98a08c8dd5379f6c27c133817768ab254ec0cf4c0ef96c9a6b20646803822546
Pin SHA256: Pm8i9rxFNCuPsj1UlNna+ZtaWiwiSTc3VSB1e5uIXuo=
Common names Kubernetes Ingress Controller Fake Certificate
Alternative names ingress.local MISMATCH
Serial Number 7068bed705115c06279afa4f1126e03a
Valid from Thu, 08 Oct 2020 14:10:58 UTC
Valid until Fri, 08 Oct 2021 14:10:58 UTC (expires in 10 months and 24 days)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Kubernetes Ingress Controller Fake Certificate Self-signed
Signature algorithm SHA256withRSA
Extended Validation No
Certificate Transparency No
OCSP Must Staple No
Revocation information None
Trusted No NOT TRUSTED
Mozilla Apple Android Java Windows
AT
а вот второй
Server Key and Certificate #1
Subject ***
Fingerprint SHA256: 8a225f60f8114b866f4651b6470ef9f7bd98c9942bf07954af28a2db29dc9193
Pin SHA256: zmYlcqP6LVxEoBiDW9I4oArXVTM6VdH6yTdYjpta5ww=
Common names ****
Alternative names ****
Serial Number 038d2b1ab2767877380899f25244b39b931d
Valid from Thu, 05 Nov 2020 14:29:23 UTC
Valid until Wed, 03 Feb 2021 14:29:23 UTC (expires in 2 months and 20 days)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Let's Encrypt Authority X3
AIA: http://cert.int-x3.letsencrypt.org/
Signature algorithm SHA256withRSA
Extended Validation No
Certificate Transparency Yes (certificate)
OCSP Must Staple No
Revocation information OCSP
OCSP: http://ocsp.int-x3.letsencrypt.org
Revocation status Good (not revoked)
DNS CAA No (more info)
Trusted Yes
Mozilla Apple Android Java Windows
AT
если курлом делать запрос к сервису по факту в ответе приходит 2 серта
AT
один валидный и вторым как раз идет фейковый
AT
так как Let's Encrypt идет первым или он основной
AT
то браузеры его хавают и все норм
AT
да и беки тоже чаще всего
AT
но у нас один из клиентов банк и походу он проверяет все серты
AT
ингрес сервиса такой
ingress:
enabled: true
annotations: {"nginx.ingress.kubernetes.io/proxy-body-size": "16m"}
paths: ["/"]
hosts:
- ***
tls: [{hosts: ['***'], secretName: '***-ingress-tls-secret'}]
AT
если сам контроллер
AT
nginx-ingress:
enabled: true
defaultBackend:
enabled: false
controller:
defaultBackendService: nginx-ingress-errors-prod/nginx-ingress-errors
replicaCount: 3
minAvailable: 2
config:
log-format-escape-json: "true"
log-format-upstream: '***'
ssl-ciphers: "***"
ssl-protocols: "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
resources:
limits:
cpu: 1000m
memory: 256Mi
requests:
cpu: 500m
memory: 256Mi
service:
type: LoadBalancer
externalTrafficPolicy: Cluster
loadBalancerIP: ****
AT
короче ничего особенного
AT
пока у меня нет мыслей кроме как врубить дефолтный и проверить уйдет ли фейковый
AT
мне кажется я понял в чем дело скорее всего в этом банке нет поддержки SNI и они получают периодически фейк серт
GG
если курлом делать запрос к сервису по факту в ответе приходит 2 серта
Есть ответ
GG
У тебя раундробином два ингресса отрабатывают ?
GG
Что у тебя в днс ?