Debian 9, curl/wget и домен с сертификатом от letsencrypt

CAPAXA

Команда форума
Moderator
Разрушитель (V)
Сообщения
694
Симпатии
632
Баллы
28 503
30 сентября, внезапно, поотваливались все домены с ssl-сетифакатами от letsencrypt, которые дергались curl-ом.

Срок действия старого корня Letsencrypt ("DST Root CA X3") истек.
Новая цепочка LE по умолчанию пытается быть «дополнительной совместимой», представляя необязательное расширение цепочки, где новый корень («ISRG Root X1») представлен как промежуточный элемент с перекрестной подписью для старого корня (поскольку очень старые версии Android все еще принять просроченный рут, но не иметь нового рута)
В Openssl 1.0 есть ошибка, из-за которой он просто пытается попробовать первую цепочку, которую видит, и если это не нравится, он не рассматривает никаких других возможностей (например, более короткая новая цепочка, заканчивающаяся на X1, по сравнению с более длинным расширением «совместимости» этой цепи, проходящей через X1 в X3).
libcurl3 в Debian 9 связана с libssl 1.0
Лечение.
apt-get update && apt-get install curl
sed -i '/^mozilla\/DST_Root_CA_X3/s/^/!/' /etc/ca-certificates.conf && update-ca-certificates -f

Добавлю. Если у вас старая версия Дебиан (например 8) То обновиться просто-так не получиться.
Сначала нужно в sources.list заменить ссылки на пакеты
Было
Стало
Потом делаем это
echo "Acquire::Check-Valid-Until false;" | tee -a /etc/apt/apt.conf.d/10-nocheckvalid
 
Последнее редактирование:
30 сентября, внезапно, поотваливались все домены с ssl-сетифакатами от letsencrypt
 
"Внезапно" было написано шрифтом "сарказм"
 
После фикса apple устройства проверяли? Там сайт ложился намертво, если сертификат от let's encrypt, закрывает сразу политика безопасности. Проверено было на IOS 14,15 Iphone, Ipad, Mac OS.
 
и дайте, пожалуйста, совет. с centos что делать в этом случае? если есть curl. второй строчки будет достаточно с заменой sed?
 
Увы, но с Центосом не дружу.
 
и дайте, пожалуйста, совет. с centos что делать в этом случае? если есть curl. второй строчки будет достаточно с заменой sed?
Код:
yum install ca-certificates
update-ca-trust force-enable
Иногда и этого достаточно, если не поможет, дополнительные команыды
Код:
wget "https://letsencrypt.org/certs/isrgrootx1.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem"
update-ca-trust extract
 
Раньше тоже использовал сертификаты от letsencrypt, сейчас пользуюсь cloudflare, который предоставляет ssl по умолчанию, без каких-либо дополнительных настроек
 
Назад
Верх