Por que o wget não verifica os certificados SSL?

16

Eu tenho um problema com a minha instalação do Fedora 8 . Parece que o wget não sabe mais como verificar os certificados SSL. É estranho porque eu tenho outra caixa do Fedora 8 que acredito ter a mesma configuração e funciona!

Como posso fazer isso funcionar sem usar a opção --no-check-certificate ?

Este é um exemplo de saída:

wget https://www.google.com
--2011-09-23 00:11:13--  https://www.google.com/
Resolving www.google.com... 74.125.230.146, 74.125.230.147, 74.125.230.148, ...
Connecting to www.google.com|74.125.230.146|:443... connected.
ERROR: cannot verify www.google.com's certificate, issued by '/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA':
  Unable to locally verify the issuer's authority.
To connect to www.google.com insecurely, use '--no-check-certificate'.
Unable to establish SSL connection.

EDITAR

Eu tenho esse arquivo /etc/pki/tls/certs/ca-bundle.crt e quando executo wget com --ca-certificate alternando para esse arquivo, tudo corre bem. Onde esse arquivo deve ser colocado para que eu não precise usar o switch?

BTW: curl e links funcionam bem, mas lynx também reclama: "Erro SSL: não é possível obter certificado de emissor local" , portanto, isso não é apenas wget questão ...

    
por tomazy 23.09.2011 / 01:24

3 respostas

11

Por padrão, o wget verificará os certificados no caminho definido no arquivo opensslconf /etc/pki/tls/openssl.cnf (não há certeza se o caminho está correto para fc8). Por favor, verifique o arquivo de configuração openssl e confirme se os caminhos estão corretos. Pode ser o openssl, que precisa ser corrigido.

    
por 23.09.2011 / 04:06
5

Seu sistema não confia na cadeia de assinaturas do certificado do Google.

Eles também não estão apresentando a cadeia completa de certificados, apenas o certificado de seu emissor; Não 100% até o par, mas certamente nada que possa impedi-lo de validar a cadeia.

Seu sistema antigo provavelmente terá um conjunto igualmente antigo de autoridades de certificação raiz confiáveis.

Confie no cert VeriSign correto ( aqui ) e você deve ser bom.

    
por 23.09.2011 / 02:30
4

Você precisa reunir uma lista dos certificados raiz nos quais deseja confiar e informar wget como encontrá-los usando a opção --ca-certificate ou --ca-directory . Você pode ter um em /etc/pki/tls/certs se tiver o pacote apropriado instalado.

    
por 23.09.2011 / 02:58