Клиент в Debian 9 ошибочно сообщает об истечении срока действия сертификата для домена, выданного letsencrypt

Если я попытаюсь получить доступ к нашему HTTPS-серверу с сертификатом, выданным certbot из Debian 9, я получу следующую ошибку:

 # curl -v https://hu.dbpedia.org/
 * Попытка 195.111.2.82...
 * Установлен TCP_NODELAY
 * Подключено к hu.dbpedia.org (195.111.2.82), порт 443 (#0)
 * ALPN, предлагая h2
 * ALPN, предлагающий http/1.1
 * Выбор шифра: ВСЕ:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
 * успешно установить места проверки сертификата:
 * CA-файл: /etc/ssl/certs/ca-certificates.crt
   CApath: /etc/ssl/certs
 * TLSv1.2 (OUT), заголовок TLS, статус сертификата (22):
 * TLSv1.2 (OUT), рукопожатие TLS, приветствие клиента (1):
 * TLSv1.2 (IN), рукопожатие TLS, приветствие сервера (2):
 * TLSv1.2 (IN), рукопожатие TLS, сертификат (11):
 * TLSv1.2 (OUT), оповещение TLS, приветствие сервера (2):
 * Проблема с сертификатом SSL: срок действия сертификата истек
 * Curl_http_done: называется преждевременным == 1
 * остановил поток паузы!
 * Закрытие соединения 0
 curl: (60) Проблема с сертификатом SSL: срок действия сертификата истек

Однако, если я попробую ту же команду из Debian 10, все получится.

Я попытался просто скопировать все ca-сертификаты с виртуальной машины Debian 10 на виртуальную машину Debian 9 (в /usr/local/share/ca-certificates) с помощью rsync, а затем запустил обновление-ca-сертификаты который, казалось бы, добавил 400+ сертификатов. К сожалению, это не помогло. Это неудивительно, так как кажется, что и для debian 9, и для 10 одинаковые сертификаты.

мой вопрос: Как я могу получить доступ к сайтам с сертификатами certbot с машин Debian 9 не игнорируя проверку сертификата вообще

Предупреждение! Пожалуйста, спланируйте путь обновления ОС. Приведенный ниже совет следует применять только в экстренных ситуациях, чтобы быстро починить критическую систему.

Приведенное ниже решение работает на Debian Jessy 8 и должно также отсутствовать обновления Stretch 9. Я только что проверил это на docker run -it debian: Джесси Баш, apt-get update && apt-get install curl.

Перед:

# завиток -I https://hu.dbpedia.org
curl: (60) Проблема с сертификатом SSL: срок действия сертификата истек
Подробнее здесь: http://curl.haxx.se/docs/sslcerts.html
....

Сначала проверьте, присутствует ли у вас оскорбительный сертификат DST Root CA X3:

# grep X3 /etc/ca-certificates.conf 
Mozilla/DST_Root_CA_X3.crt

В старых выпусках Debian также присутствует правильный ISRG Root X1:

# grep X1 /etc/ca-certificates.conf 
мозилла/ISRG_Root_X1.crt

Это отключит X3:

# sed -i '/^mozilla\/DST_Root_CA_X3/s/^/!/' /etc/ca-certificates.conf && update-ca-certificates -f

Ваш домен отлично отвечает на curl:

# завиток -I https://hu.dbpedia.org/
HTTP/1.1 200 ОК
...

Опять же, спланируйте обновление, пожалуйста.

Срок действия корневого сертификата DST Root CA X3 истек 30 сентября 14:01:15 2021 GMT. Он использовался как один из путей сертификации для сертификатов Let’s Encrypt. В более старой версии cURL есть ошибка, которая приводит к сбою подключения с истекшим сроком действия root вместо того, чтобы пытаться использовать другие корни в локальном хранилище CA.

По состоянию на 30 сентября 2021 г. ca store for curl (https://curl.se/docs/caextract.html) по-прежнему содержит корневой сертификат DST Root CA X3 с истекшим сроком действия, поэтому его обновление не решит проблему. Вы можете либо обновить свой cURL (что может быть довольно сложно в некоторых ситуациях), либо отредактировать локальное хранилище CA (например, /etc/pki/tls/certs/ca-bundle.crt) и вручную удалить сертификат после строки «DST Root CA X3».

Для Debian 8 и 9 я просто делаю это для обновления сертификата на хосте, и больше не возникает ошибка 60: проблема с сертификатом SSL: срок действия сертификата истек: https://github.com/xenetis/letsencrypt-expiration

Просто запустите, должно работать:

wget -O — https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/letsencrypt-expiration.sh | бить

У меня только что была эта проблема с образом Docker на основе Debian Stretch. Решение было простым, я полагаю, что Debian исправил libssl1.0.2 чтобы исправить проблему с выбором цепочки, о которой упоминал Хакан. В моем случае обновление только сертификатов и libssl1.0.2 запустив apt install -y libssl1.0.2 ca-сертификаты (с удачное обновление для контейнеров заранее) было достаточно.

После ответа Николо1, я запустил скрипт на своем устаревшем сервере Debian 9 и все еще получал ту же ошибку с истекшим сроком действия сертификата. обновление-ca-сертификаты справочная страница говорит

Кроме того, все сертификаты с расширением .crt, расположенные ниже /usr/local/share/ca-certificates, также включаются как неявно доверенные.

Сценарий, которым он поделился, на сегодняшний день загружает сертификаты ISRG & Let’s Encrypt как .pem файлы, поэтому обновление-ca-сертификаты не включать их автоматически. После создания мягкой ссылки на эти .pem файлы, но с .crt расширение, работает обновление-ca-сертификаты снова действительно включает их, и ошибка с истекшим сроком действия сертификата исчезает. Спасибо за ваш ответ!