Debian 9, curl/wget и домен с сертификатом от letsencrypt

  • Автор темы Автор темы CAPAXA
  • Дата начала Дата начала
CAPAXA

CAPAXA

Команда форума
Moderator
Разрушитель (V)
Сообщения
763
Реакции
692
Баллы
33 142
30 сентября, внезапно, поотваливались все домены с ssl-сетифакатами от letsencrypt, которые дергались curl-ом.

Срок действия старого корня Letsencrypt ("DST Root CA X3") истек.
Новая цепочка LE по умолчанию пытается быть «дополнительной совместимой», представляя необязательное расширение цепочки, где новый корень («ISRG Root X1») представлен как промежуточный элемент с перекрестной подписью для старого корня (поскольку очень старые версии Android все еще принять просроченный рут, но не иметь нового рута)
В Openssl 1.0 есть ошибка, из-за которой он просто пытается попробовать первую цепочку, которую видит, и если это не нравится, он не рассматривает никаких других возможностей (например, более короткая новая цепочка, заканчивающаяся на X1, по сравнению с более длинным расширением «совместимости» этой цепи, проходящей через X1 в X3).
libcurl3 в Debian 9 связана с libssl 1.0
Лечение.
apt-get update && apt-get install curl
sed -i '/^mozilla\/DST_Root_CA_X3/s/^/!/' /etc/ca-certificates.conf && update-ca-certificates -f

Добавлю. Если у вас старая версия Дебиан (например 8) То обновиться просто-так не получиться.
Сначала нужно в sources.list заменить ссылки на пакеты
Было
deb http://http.us.debian.org/debian wheezy main contrib non-free
Нажмите, чтобы раскрыть...
Стало
deb http://archive.debian.org/debian wheezy main contrib non-free
Нажмите, чтобы раскрыть...
Потом делаем это
echo "Acquire::Check-Valid-Until false;" | tee -a /etc/apt/apt.conf.d/10-nocheckvalid
Нажмите, чтобы раскрыть...
 
Последнее редактирование:
CAPAXA сказал(а):
30 сентября, внезапно, поотваливались все домены с ssl-сетифакатами от letsencrypt
Нажмите, чтобы раскрыть...
habr.com

30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3

30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3. Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд...
habr.com habr.com
 
Denzy сказал(а):
habr.com

30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3

30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3. Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд...
habr.com habr.com
Нажмите, чтобы раскрыть...
"Внезапно" было написано шрифтом "сарказм"
 
После фикса apple устройства проверяли? Там сайт ложился намертво, если сертификат от let's encrypt, закрывает сразу политика безопасности. Проверено было на IOS 14,15 Iphone, Ipad, Mac OS.
 
и дайте, пожалуйста, совет. с centos что делать в этом случае? если есть curl. второй строчки будет достаточно с заменой sed?
 
Увы, но с Центосом не дружу.
 
BlackFFFFFF сказал(а):
и дайте, пожалуйста, совет. с centos что делать в этом случае? если есть curl. второй строчки будет достаточно с заменой sed?
Нажмите, чтобы раскрыть...
Код: 
yum install ca-certificates
update-ca-trust force-enable
Иногда и этого достаточно, если не поможет, дополнительные команыды
Код: 
wget "https://letsencrypt.org/certs/isrgrootx1.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem"
update-ca-trust extract
 
Раньше тоже использовал сертификаты от letsencrypt, сейчас пользуюсь cloudflare, который предоставляет ssl по умолчанию, без каких-либо дополнительных настроек
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх