<div dir="auto"><div dir="ltr"><div dir="auto"><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="font-family:sans-serif">The issues you are experiencing are most likely because the iPXE OCSP <br></span><span style="font-family:sans-serif">service is still down following a hardware death.  Replacement is <br></span><span style="font-family:sans-serif">currently stalled pending the existence of a suitable ocspd package for <br></span><span style="font-family:sans-serif">Fedora; the version in the Fedora repos is more than ten years out of date.</span></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">How does this work exactly?</div><div dir="auto">I mean, if my https certificate is based on letsencrypt, then am I still dependant on some service (ocsp?) from ipxe to function ? </div><div dir="auto"><br></div><div dir="auto">Can I work around this and still "trust what Mozilla trusts" ? </div><div dir="ltr"></div><div dir="ltr"><div dir="auto"><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jan 12, 2020, 15:14 Michael Brown <<a href="mailto:mcb30@ipxe.org" target="_blank" rel="noreferrer">mcb30@ipxe.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 11/01/2020 15:28, Ibrahim Tachijian wrote:<br>
> And all fail because of certificate issues.<br>
> The documentation on <a href="https://ipxe.org/crypto" rel="noreferrer noreferrer noreferrer" target="_blank">https://ipxe.org/crypto</a> mentions that,<br>
> <br>
>     In the default configuration, iPXE trusts only a single root<br>
>     certificate: the "iPXE root CA" certificate<br>
>     <<a href="https://ipxe.org/_media/certs/ca.crt" rel="noreferrer noreferrer noreferrer" target="_blank">https://ipxe.org/_media/certs/ca.crt</a>>. This root certificate is<br>
>     used to cross-sign the standard Mozilla list of public CA<br>
>     certificates<br>
>     <<a href="http://mxr.mozilla.org/comm-central/source/mozilla/security/nss/lib/ckfw/builtins/certdata.txt" rel="noreferrer noreferrer noreferrer" target="_blank">http://mxr.mozilla.org/comm-central/source/mozilla/security/nss/lib/ckfw/builtins/certdata.txt</a>>.<br>
> <br>
> Do  I need to download the iPXE root ca and compile it in? If so how?<br>
<br>
No; the iPXE root CA fingerprint is compiled in by default:<br>
<br>
   <a href="https://github.com/ipxe/ipxe/blob/master/src/crypto/rootcert.c#L51" rel="noreferrer noreferrer noreferrer" target="_blank">https://github.com/ipxe/ipxe/blob/master/src/crypto/rootcert.c#L51</a><br>
<br>
The issues you are experiencing are most likely because the iPXE OCSP <br>
service is still down following a hardware death.  Replacement is <br>
currently stalled pending the existence of a suitable ocspd package for <br>
Fedora; the version in the Fedora repos is more than ten years out of date.<br>
<br>
Michael<br>
</blockquote></div></div></div>
</div></div>