查看: 10913|回复: 0

Let's Encrypt 网站“证书不受信任、已过期”解决办法

[复制链接]
  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2021-10-17 16:40:27 | 显示全部楼层 |阅读模式
    QQ截图20211017164009.jpg

    最近需要在服务器里部署一些项目,系统环境是 Debian 9 x64,运行脚本后,无故终止。排除网络问题,查看报错,定位到是与某些必要组件的网站连接出现了错误。

    用 wget 下载任何由 Let's Encrypt 签发证书的 https 网站的内容,发生报错:

    The certificate of 'www.xxx.xxx' is not trusted.
    The certificate of 'www.xxx.xxx' has expired.

    使用 curl 等工具连接也会报错。

    即使按网传方法,安装“ca-certificates”也无解。大量旧 Linux 系统,在2021年9月30日之后,都会面临此问题。

    Ubuntu 16.04 解决方法:

    有用户在2021年5月19日反馈了这个 bug,官方发布重新编译过的 OpenSSL 1.0.2g 解决了这个问题。
    通过官方源将 OpenSSL 组件更至最新即可。在2021年7月28日之后全新安装的 Ubuntu 16.04,也不会再碰到此问题。

    [AppleScript] 纯文本查看 复制代码
    apt-get update
    apt-get install openssl -y


    Debian 8 Debian 9 解决方法:

    在证书配置文件中,删除“DST_Root_CA_X3”证书,并重载根证书配置:

    [AppleScript] 纯文本查看 复制代码
    sed -i '/^mozilla\/DST_Root_CA_X3/s/^/!/' /etc/ca-certificates.conf && update-ca-certificates -f


    原因:

    问题就出在 OpenSSL 1.0.X,它会优先使用长度更短的“DST Root CA X3”与HTTPS网站做验证交换,该证书自从2021年9月30日后过期,一旦验证失效,就会报错终止。后续不再尝试用新的根证书“ISRG Root X1”做验证。OpenSSL 1.1.X 已修复该 Bug。

    Debian 9 附带的“libcurl3”软件包中,有一个名为“libssl1.0.2”的共享库依赖,该依赖使 OpenSSL 强制以 1.0.2 版本运行。所以即使 Debian 9 内置了 OpenSSL 1.1.0l,它还是会重现这个问题。并且由于“libcurl3”是 Debian 9 默认源中“curl 7.52.1”的必要依赖,所以只要通过官方源安装 curl 组件,就会出现这个问题。

    CentOS 6/7 解决方法:

    删除系统内置的,受信任的根证书目录中的“DST_Root_CA_X3”证书:
    [AppleScript] 纯文本查看 复制代码
    rm -rf /etc/ca-certificates/trust-source/DST_Root_CA_X3.pem


    更新证书信任列表配置:
    [AppleScript] 纯文本查看 复制代码
    update-ca-trust


    可能涉及到的 Linux 发行版:

    CentOS 7 与 RHEL 7 及更旧版本;
    Amazon Linux 和 Amazon Linux 2;
    Ubuntu 14.04 及更旧版本;
    Debian 8、Debian 9 等更旧版本;
    Android 4.0 及更旧版本;

    任何使用 OpenSSL 1.0.X 版本,且官方源未发布针对 OpenSSL 1.0.X bug 修复的二进制编译文件的其他 Linux 衍生版本。

    对于其他 Linux 发行版,解决问题的核心思路就是:

    1. 删除系统内置根证书信任区,或证书管理器配置文件中的“DST_Root_CA_X3”证书;
    2. 重载证书管理器配置。

    后果同样为失去兼容旧系统,具体命令和方法请自行探究。
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 09:52 , Processed in 0.021288 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部