Usando openssl s_client -connect thawte.com:443
mostra:
---
Certificate chain
0 s:/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/O=Thawte, Inc./C=US/ST=California/L=Mountain View/businessCategory=Private Organization/serialNumber=3898261/OU=Infrastructure Operations/CN=www.thawte.com
i:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
1 s:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3
---
Esse último "i" mostra a CA raiz autoassinada emitida. Suponho que essa CA raiz do Thawte em particular, _i.e. o certificado da CA raiz primária - G3 não está no diretório /etc/ssl/certs
(conforme declarado na curl
output; openssl s_client
não possui um caminho CA padrão e precisa receber um explicitamente, por exemplo -CApath /etc/ssl/certs
).
Adicionar esse certificado explicitamente ao seu diretório /etc/ssl/certs
(e re-executar c_rehash
) certamente não faria mal. E se funcionar, por exemplo conforme verificado usando openssl s_client -connect example.com:443 -CApath /etc/ssl/certs
, então você sabe que o comando update-ca-certificates
pode precisar de algum exame / depuração, por que ele não pegou essa CA raiz
Agora, pode ser que a CA raiz acima já esteja no diretório /etc/ssl/certs
e as etapas acima não tenham efeito. Nesse caso, há dois outros certificados de CA da emissão para verificar (pelo menos na cadeia cert oferecida por thawte.com:443
): thawte Primary Root CA e thawte SSL CA - G2 . Repetir as etapas acima para instalar esses certificados no diretório /etc/ssl/certs
(e executar novamente o c_rehash
) pode funcionar. Como essas duas são CAs intermediárias e não CAs raiz, a ausência de uma delas explicaria seus resultados, e pode ser esperada como certs ignorados por update-ca-certificates
.
Espero que isso ajude!