한 클라이언트는 "인증서 만료"로 인해 실패하고 다른 클라이언트는 정상적으로 작동합니다.

tag-icon tag-icon debian ssl certificates
한 클라이언트는 "인증서 만료"로 인해 실패하고 다른 클라이언트는 정상적으로 작동합니다.

기계가 두 대 있어요. 하나는 Fedora(30)를 실행하고 다른 하나는 Debian(버스터)을 실행합니다.

curl https://www.ultimate-guitar.com/Fedora 시스템에서 이것을 실행 하면 예상된 응답을 얻습니다. 그러나 Debian 시스템에서 동일한 명령을 실행하면 curl: (60) SSL certificate problem: certificate has expired.

데비안에서는 -v 플래그를 사용하세요:

$ curl -v https://www.ultimate-guitar.com/
*   Trying 205.185.216.42...
* TCP_NODELAY set
* Connected to www.ultimate-guitar.com (205.185.216.42) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: certificate has expired
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

해당 데비안 머신에는 vim과 docker를 제외하고는 (수동으로) 패키지를 거의 설치하지 않았습니다.

내 openssl 패키지나 무엇이든 업데이트해야 한다고 생각해서 실행했지만 apt update문제 apt upgrade는 사라지지 않았습니다...

그런데, 내 데비안 컴퓨터에서 아무 문제 없이 다른 사이트에 접근할 수 있습니다. 예를 들면 다음과 같습니다. ( curl https://ultimate-guitar.com/하지 않았습니다 www..) 잘 작동합니다.

내가 발견한 또 다른 흥미로운 점은 다음을 사용하여 인증서를 확인할 때 나타나는 경고였습니다.이 웹사이트:

여기에 이미지 설명을 입력하세요.

이것이 무엇을 의미하는지 모르겠습니다. 내 Fedora 시스템에 인증서 문제가 없다는 것을 보면 이해할 수 없습니다.

어떤 도움이라도 대단히 감사하겠습니다.

답변1

AddTrust 인증서를 주석 처리하여 이 문제를 해결했습니다.

그냥 바꿨어요

mozilla/AddTrust_External_Root.crt

도착하다

!mozilla/AddTrust_External_Root.crt

존재하다 /etc/ca-certificates.conf.

그리고 그는 도망쳤다 update-ca-certificates.

사용할 수 없는 경우 update-ca-certificates패키지를 설치해야 할 수도 있습니다 ca-certificates.

apt-get update && apt-get install ca-certificates

관련 정보