<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class="">I contacted NLNet Labs, they updated their certs which made NSD fetch on Mojave work again for me.</div><div class=""><br class=""></div>Somewhere during my tests accidentally OpenSSL was activated on my machine (a destroot on nsd 4.3.8 maybe?), which killed all the installed ports that were dependent on an opensll 1.1.1 dylib (which had been made inaccessible), so suddenly a lot of programs couldn’t start anymore (Abort 6) because the dylib wasn’t there. That kind of forced me to do a quick update of everything.<div class=""><br class=""></div><div class="">So I updated NSD to 4.3.8 and created a pull request for it (as the existing MacPorts version 4.1.2 would not compile with OpenSSL3 which is now standard and I am an NSD maintainer)</div><div class=""><br class=""></div><div class="">That change has now been merged with MacPorts master (yes! yes! I did it correctly! I’m getting the hang of it!)</div><div class=""><br class=""></div><div class="">Everything NSD is back as it should be.</div><div class=""><br class=""></div><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><div class="">Gerben Wierda (<a href="https://www.linkedin.com/in/gerbenwierda" class="">LinkedIn</a>)</div><div class=""><a href="https://ea.rna.nl/" class="">R&A Enterprise Architecture</a> (main site)<br class="">Book: <a href="https://ea.rna.nl/the-book/" class="">Chess and the Art of Enterprise Architecture</a><br class="">Book: <a href="https://ea.rna.nl/the-book-edition-iii/" class="">Mastering ArchiMate</a><br class=""></div></div></div></div></div></div></div></div>
</div>
<div><br class=""><blockquote type="cite" class=""><div class="">On 8 Nov 2021, at 03:54, Dave Horsfall <<a href="mailto:dave@horsfall.org" class="">dave@horsfall.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">On Sun, 7 Nov 2021, Bill Cole wrote:<br class=""><br class=""><blockquote type="cite" class=""><blockquote type="cite" class="">So I wonder how widespread this problem is?<br class=""></blockquote><br class="">The problem in this case is not the existence of the cert in the CA bundle, but the fact that this particular expired cert was used in an alternative validation path and the logic of verification for multi-path certs isn't correct. Normally, expired root CAs should stay in there because that allows positive non-verification of certs supposedly issued by an expired (and maybe compromised) root CA.<br class=""></blockquote><br class="">Gotcha; thanks.<br class=""><br class=""><blockquote type="cite" class=""><blockquote type="cite" class="">And I'm not happy with those that are set way in the future; I heard somewhere that 5 years is the recommended max.<br class=""></blockquote><br class="">CAs are special. The current limit on server certs is 397 days. I don't think there's a consensus on CA lifetimes because of the conflicting risks of too-short and too-long lives.<br class=""></blockquote><br class="">One day past a leap year :-)  I don't remember where I saw the 5-year recommendation, unfortunately.<br class=""><br class="">-- Dave<br class=""></div></div></blockquote></div><br class=""></body></html>