谷姐靓号网原文:https://zhuanlan.zhihu.com/p/417627543
最近需要在服务器里部署一些项目,系统环境是 Debian 9 x64,运行脚本后,无故终止。排除网络问题,查看报错,定位到是与某些必要组件的网站连接出现了错误。
用 wget 下载任何由 Let's Encrypt 签发证书的 https 网站的内容,发生报错:
The certificate of 'www.xxx.xxx' is not trusted.
The certificate of 'www.xxx.xxx' has expired.
使用 curl 等工具连接也会报错。
即使按网传方法,安装“ca-certificates”也无解。大量旧 Linux 系统,在2021年9月30日之后,都会面临此问题。
Ubuntu 16.04 解决方法:
有用户在2021年5月19日反馈了这个 bug,官方发布重新编译过的 OpenSSL 1.0.2g 解决了这个问题。
通过官方源将 OpenSSL 组件更至最新即可。在2021年7月28日之后全新安装的 Ubuntu 16.04,也不会再碰到此问题。
- apt-get update
apt-get install openssl -y
Debian 8 Debian 9 解决方法:
在证书配置文件中,删除“DST_Root_CA_X3”证书,并重载根证书配置:
- sed -i '/^mozilla\/DST_Root_CA_X3/s/^/!/' /etc/ca-certificates.conf && update-ca-certificates -f
原因:
问题就出在 OpenSSL 1.0.X,它会优先使用长度更短的“DST Root CA X3”与HTTPS网站做验证交换,该证书自从2021年9月30日后过期,一旦验证失效,就会报错终止。后续不再尝试用新的根证书“ISRG Root X1”做验证。OpenSSL 1.1.X 已修复该 Bug。
Debian 9 附带的“libcurl3”软件包中,有一个名为“libssl1.0.2”的共享库依赖,该依赖使 OpenSSL 强制以 1.0.2 版本运行。所以即使 Debian 9 内置了 OpenSSL 1.1.0l,它还是会重现这个问题。并且由于“libcurl3”是 Debian 9 默认源中“curl 7.52.1”的必要依赖,所以只要通过官方源安装 curl 组件,就会出现这个问题。
CentOS 6/7 解决方法:
删除系统内置的,受信任的根证书目录中的“DST_Root_CA_X3”证书:
- rm -rf /etc/ca-certificates/trust-source/DST_Root_CA_X3.pem
更新证书信任列表配置:
- update-ca-trust
可能涉及到的 Linux 发行版:
CentOS 7 与 RHEL 7 及更旧版本;
Amazon Linux 和 Amazon Linux 2;
Ubuntu 14.04 及更旧版本;
Debian 8、Debian 9 等更旧版本;
Android 4.0 及更旧版本;
任何使用 OpenSSL 1.0.X 版本,且官方源未发布针对 OpenSSL 1.0.X bug 修复的二进制编译文件的其他 Linux 衍生版本。
对于其他 Linux 发行版,解决问题的核心思路就是:
1. 删除系统内置根证书信任区,或证书管理器配置文件中的“DST_Root_CA_X3”证书;
2. 重载证书管理器配置。
后果同样为失去兼容旧系统,具体命令和方法请自行探究。
热议
推荐楼 Renzheng
推荐楼 h202 2021-10-6 23:20:52
还好我只用debian10
3楼 hotkk 2021-10-6 23:20:53
支持技术帖
4楼 ASDC 2021-10-6 23:22:02
支持契合论坛的主题贴
5楼 scheme 2021-10-6 23:23:05
已经升到11了
6楼 笑花落半世琉璃 2021-10-6 23:24:11
Debain9好像没有遇到过先插个眼
7楼 b66667777 2021-10-6 23:39:59
好
8楼 hjvn2211445 2021-10-6 23:58:02
还真有问题,发现采集站用let ssl,采集不到了,停在了9.30
马上更新了
9楼 剁手mjj 2021-10-7 00:11:04
不错。
10楼 shunglay 2021-10-7 00:20:25
点个赞
13楼 antbt 2021-10-7 08:41:32
来晚了,1号就已经解决问题了
14楼 pingtan 2021-10-7 11:41:22
感谢分享,
15楼 zhongziso 2021-10-7 11:55:10
mark
16楼 keylows 2021-10-7 12:17:28
这个必须顶
17楼 monface 2021-10-7 13:14:08
下载https://curl.se/ca/cacert.pem 这个证书,再更新到服务器上不能解决问题?
18楼 天权璇玑 2021-10-7 13:14:53
下载https://curl.se/ca/cacert.pem 这个证书,再更新到服务器上不能解决问题?
过期旧证书必须要从系统里移除
19楼 monface 2021-10-8 11:26:09
rm -rf /etc/ca-certificates/trust-source/DST_Root_CA_X3.pem
这个路径不存在
20楼 leftgg 4天前
过期旧证书必须要从系统里移除
原来如此,不覆盖吗?
22楼 清晓 前天15:02
For CentOS 7
求教这个是否可以解决centos8上面的证书错误?error: x509: certificate has expired or is not yet valid: current time 2021-10-18T10:11:10Z is after 2021-09-30T14:01:15Z
24楼 hcyme 18分钟前
谢谢各位帅哥伦比亚
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。
评论前必须登录!
立即登录 注册