Faça o download sobre https no Debian não funciona (configuração incorreta do openssl?)

Question

Faça o download sobre https no Debian não funciona (configuração incorreta do openssl?)

#1 resposta do (3 votos)

1

Eu estou em um servidor wheezy do Debian e estou tentando baixar coisas por https sem sucesso.

Quando tento usar curl , isso me dá essa resposta pelo exemplo:

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

wget me dá algo parecido:

ERROR: cannot verify www.domain.com’s certificate, issued by “/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA”:
  Unable to locally verify the issuer’s authority.

Quando executo o comando openssl s_client -showcerts -connect www.facebook.com:443 recebo a resposta verify error:num=20:unable to get local issuer certificate , mas quando eu faço openssl s_client -CApath /etc/ssl/certs/ -showcerts -connect www.facebook.com:443 funciona bem.

Então, acho que há um ambiente var que não está definido, porque eu posso executar a verificação de certificado quando eu definir o caminho para chaves públicas.

O que preciso fazer para corrigir isso?

Obrigado antecipadamente!

ssl openssl debian

por LucasBr 13.06.2018 / 04:47

1 resposta

Tags ssl openssl debian

Excluindo o diretório antigo Marque todos os pacotes autorreováveis como instalados manualmente em um comando

score 3 · Accepted Answer

Você não está lidando com um erro de configuração.

Wheezy já está mostrando a idade provavelmente. As cadeias raiz públicas do certificado CA podem estarem expiradas, e o openssl / libSSL está usando protocolos obsoletos enquanto falamos.

A maneira mais fácil de resolver isso é atualizar para uma versão recente do Debian, também porque Wheezy é de 2013 e tem EOL desde 31 de maio de 2018. (ou, dito de outra forma, algumas pessoas já estão planejando / testando sua migração em breve para o Debian 10 enquanto o Wheezy tem 3 versões e 5 anos para trás)

Você também pode tentar usar curl -k ou wget --no-check-certificate para ignorar a verificação de certificado, isso pode funcionar.

Você pode até tentar atualizar os certificados como sugere o @ GAD3R (não tem idéia se isso resolverá o problema com o wheezy) ou instalar manualmente os certificados da CA raiz do Digicert. (certificado fb é assinado com Digicert)

No entanto, com uma versão antiga do Debian, você terá outros problemas de segurança e também estará lidando com o SSL, e como tal, se puder, você deve atualizá-lo.