Certificados raiz desatualizados do Debian Wheezy

Navegue suas respostas
3

Eu me deparei com um problema estranho em que um servidor que está executando o Debian 7 não se conecta a alguns sites usando SSL. Após a depuração, verifica-se que os certificados raiz para esses sites não são conhecidos e, portanto, não são confiáveis. O caso que eu estava depurando era do DigiCert " DigiCert Global Root G2 ".

Claro que tentei atualizar o sistema e executar sudo update-ca-certificates , mas isso não resolveu o problema. No entanto, olhando para o repositório git do Debian, parece que ca-certificates está atualizado . Na verdade, o que eu estava procurando está lá .

Estou faltando alguma coisa? Preciso fazer algo especial para manter-se atualizado? Ou a versão no git ainda não foi lançada? Nesse caso, o que posso fazer para estar mais atualizado? Prefiro não adicionar manualmente certificados raiz.

Atualizar 

sudo apt-cache policy ca-certificates
ca-certificates:
  Installed: 20130119+deb7u1
  Candidate: 20130119+deb7u2
  Version table:
     20130119+deb7u2 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
 *** 20130119+deb7u1 0
        500 http://ftp.nl.debian.org/debian/ wheezy/main amd64 Packages
        100 /var/lib/dpkg/status

Não sei exatamente o que aconteceu, mas só estou conseguindo isso depois que mudei minha lista de fontes. Vendo como é de security.debian.org, estou preocupado que o repo não funcionou antes.

    
por aross 11.01.2018 / 13:16

2 respostas

1

Você pode tentar atualizar seus links de certificado em /etc/ssl/certs com

update-ca-certificates --fresh

que refaz todos os links simbólicos em /etc/ssl/certs . Se isso não ajudar, vamos ver se seus pacotes estão atualizados

Verifique se você tem os repositórios security em seu /etc/apt/sources.list parecidos com isso (adicione contrib e non-free como desejar) 

deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main

ou no seu caso 

deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main

tente

apt-get update && apt-get upgrade -y

confirme via

apt-cache policy ca-certificates

e compare instalado com candidato enquanto este é a versão mais recente.

Se você não encontrar a versão mais recente, seu repositório pode estar desatualizado.

Off Topic

O Debian declarou isso sobre o que o LTS realmente significa para eles, desde 6.0.

Além disso, o LTS não é feito pela equipe de segurança da Debian, que lida com patches de segurança de versão estável, mas por um " separado grupo de voluntários e empresas interessadas ". Além disso, eles parecem escolher e escolher os pacotes, citando " A quantidade de pacotes que são adequadamente suportados depende diretamente do nível de suporte que nós oferecemos. obter "

Pelo que entendi, para Wheezy, isso significa que, como Jessie foi lançado em 25 de abril de 2016, você pode esperar atualizações e patches de segurança pontuais até 25 de abril de 2016 , especialmente porque o Stretch foi lançado em 17 de junho de 2017.

Mas você sempre pode contatá-los e pedir ajuda com o LTS aqui .

    
por 22.01.2018 / 11:15
2

Eu corri para o mesmo problema no servidor ainda executando o Squeeze. Consegui corrigi-lo adicionando manualmente o certificado raiz necessário no arquivo /usr/share/ca-certificates/cacert.org/cacert.org.crt : 

su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh

Sidenote: isso não está sendo baixado de um local alternativo como sua localização oficial está dando Problemas de DNS no momento da escrita.

Se isso ainda não funcionar, talvez você queira verificar o conteúdo do arquivo /etc/ca-certificates.conf . Ele deve conter a entrada cacert.org/cacert.org.crt (em algum lugar no topo) que referencia o arquivo mencionado.

    
por 24.05.2018 / 11:53

Tags

Configuração de Diretiva de Grupo para permitir a criação de processo filho CA de Rede Interna: “Nome Comum Inválido” ou Certificado Inválido em tudo (exceto no Internet Explorer e no Windows 'Certificates mmc snapin)