Как узнать, может ли wget поддерживать новый сертификат LetsEncrypt ISRG Root X1 после истечения срока действия DST Root CA X3

Несколько недель назад (сентябрь 2021 г.) LetsEncrypt изменен способ подписи их сертификатов, что может повлиять на некоторые старые программы и клиенты. У меня есть стандартный веб-сервер Apache (стоковая версия 2.4.41 от Ubuntu 20.04 apt) с несколькими сертификатами letsencrypt.

Некоторые люди сообщают о получении от меня недействительных сертификатов ssl при использовании стандартных инструментов Unix, таких как wget. Я думаю, проблема в том, что их wget не может поддерживать эти новые сертификаты LE.

Как я (и пользователи) могу узнать, действительно ли проблема связана с ними? Есть ли какой-нибудь wget команда, которую могут запустить мои пользователи, которая сообщит мне, поддерживает ли их версия wget эти новые сертификаты? Какую команду я могу дать им для запуска, чтобы они (и я) могли определить, связана ли проблема с ними, а не со мной?

Проверяйте свои сертификаты, как и раньше, с помощью тестеров TLS на ваш выбор или просто в браузере.

Попросите пользователей обновить свое клиентское программное обеспечение.

крестообразный знак DST Root CA X3 с увеличенным сроком службы в первую очередь для продления срока службы старых Android-устройств. Конечно, в реализации TLS нет ничего простого. Этот хит ошибка в старой OpenSSL 1.0.2, где это не проверялось должным образом.

Эта проблема с wget требует:

• Скомпилировано --with-ssl=openssl который не является восходящим потоком по умолчанию
• Старый конец жизни OpenSSL 1.0.2, который обычно не следует использовать, но некоторые дистрибутивы с долгосрочной поддержкой поддерживают его.

Например, RHEL 7 должен быть затронут. EL7 исправил это, обновив ca-сертификаты, чтобы они больше не содержали просроченный корень.

Еще одна вещь, которую можно попробовать, — это серверная часть, обновив ее с помощью альтернативной цепочки Let’s Encrypt. Удаление корня DST больше не сбивает с толку старый OpenSSL, но старый Android не будет работать.