Почему в Debian 11 все еще есть сертификат DST Root CA X3 с истекшим сроком действия?

PierreF

04.02.2023, 07:15

На обновленном сервере Debian 11 я заметил, что сертификат DST Root CA X3 с истекшим сроком действия все еще присутствует:

$ grep DST /etc/ca-certificates.conf 
Mozilla/DST_Root_CA_X3.crt

Срок действия этого сертификата истек с прошлой недели:

$ openssl x509 -in /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt -text | grep "Не после"
            Не после : 30 сентября 14:01:15 2021 GMT

Я знаю, что могу отключить его (предварительно добавив ! в /etc/ca-сертификаты.conf + обновление-ca-сертификаты), но мне интересно, почему Debian хранит эти просроченные сертификаты? Разве apt upgrade не должен удалить его?

Мой ca-сертификат версия и мои подходящие источники следующие (после apt-получить обновление/обновление):

$ дпкг -л | grep ca-сертификат
ii ca-certificates 20210119 все общие сертификаты CA

$ grep -v "^#" /etc/apt/sources.list
deb http://deb.debian.org/debian Bullseye основной
deb http://security.debian.org/debian-security bullseye-security основной
deb http://deb.debian.org/debian bullseye-updates главная

1541

0 + 0

лог-файлы

центр сертификации

позволяет шифровать

drookie

04.02.2023, 07:23

Вы пытались обновить пакет ca-certificate?

Ответить

PierreF

04.02.2023, 07:26

Да, он остается в той же версии и сохраняет этот сертификат с истекшим сроком действия. Мой вопрос больше: является ли «требуемым» поведением на стороне Debian сохранение этого сертификата с истекшим сроком действия или более новая версия ca-certificate «поздняя»?

Ответить

Gerald Schneider

04.02.2023, 07:31

Зачем обновлять пакет только потому, что срок действия одного сертификата истек? Не больно, если он есть. Я уверен, что он будет удален при следующем регулярном цикле обновления пакета.

Ответить

Håkan Lindqvist

04.02.2023, 07:50

Я не знаю, каковы их точные рассуждения, но я полагаю, что просто нет необходимости обновлять пакет в связи с этим. Срок действия сертификата истек, это не должно повредить чему-либо (может даже улучшить сообщение об ошибке, чтобы сохранить его). Почему вы рассматриваете возможность ручного отключения уже просроченного сертификата, кажется, что в этом вопросе есть что-то большее, чем то, что явно указано?

Ответить

Admin

Этот вопрос на других языках:

EN: Why does Debian 11 still have the expired DST Root CA X3 certificate?

TH: เหตุใด Debian 11 จึงยังคงมีใบรับรอง DST Root CA X3 ที่หมดอายุแล้ว

RO: De ce Debian 11 mai are certificatul DST Root CA X3 expirat?

RU: Почему в Debian 11 все еще есть сертификат DST Root CA X3 с истекшим сроком действия?

VI: Tại sao Debian 11 vẫn có chứng chỉ DST Root CA X3 đã hết hạn?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.