Регистрация Войти
Рейтинг:1
avatar Ubuntu

lfp-сертификат внезапно перестал доверять

флаг cn
Maïeul

Неделю назад lftp не проверяет один из корневых сертификатов в моей системе.

Сертификат: CN=www.planete-sciences.org    
 Выдано: C=US,O=Let’s Encrypt,CN=R3
 Проверка по: C=US,O=Let's Encrypt,CN=R3
  Доверенные
Сертификат: C=US,O=Let's Encrypt,CN=R3
 Выдано: C=US,O=Internet Security Research Group,CN=ISRG Root X1
 Проверка по: C=US,O=Internet Security Research Group,CN=ISRG Root X1
  Доверенные
Сертификат: C=US,O=Internet Security Research Group,CN=ISRG Root X1
 Выдано: O=Digital Signature Trust Co.,CN=DST Root CA X3
ОШИБКА: проверка сертификата: недоверенный (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
**** Проверка сертификата: нет доверия (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
---- Fermeture du socket de contrôle
ls: Erreur fatale: Проверка сертификата: недоверенный (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF )

И filezilla, и firefox доверяют этим сертификатам.

В чем может быть проблема и как я могу это исправить?

779
0 + 0
ssl
флаг us
ragingSloth
у кого-нибудь есть решение для клиентской части или кто-нибудь знает об альтернативном клиенте, который не является EOL?
0
Ответить
Рейтинг:1
avatar Ubuntu
флаг in
Stefan

«Корневой ЦС DST X3» истекший, и лфтп реализовал свой собственный проверка разорванной цепи.

Если вы являетесь администратором сервера, вы можете переключиться на альтернативную цепочку (с самоподписанным Корень ISRG X1), что должно решить проблему с лфтп - но ломает старые клиенты Android.

0 + 0
флаг cn
u_Ltd.
Да, срок действия DST Root CCA X3 фактически истек, но lftp не проходит проверку для перекрестно подписанного варианта ISRG Root X1, который является для себя корневым сертификатом.
0
Ответить
Рейтинг:1
avatar Ubuntu
флаг gf
Paolo Cozzi

У меня точно такая же проблема. Я думаю, что это может быть временная проблема с обновлениями сертификатов/цепочек, но я не могу найти никаких доказательств: мой коллега может войти в тот же экземпляр ftps без каких-либо ошибок. В качестве обходного пути вы можете вручную добавить отсутствующий сертификат. Следующая команда:

    openssl s_client -connect www.planete-sciences.org:21 -starttls ftp -showcerts

должен получить полную цепочку сертификатов для вашего ftp-сервера. Скопируйте Корень ISRG X1 сертификат (последний блок, заключенный --НАЧАТЬ СЕРТИФИКАТ-- и --КОНЕЦ СЕРТИФИКАТА--, включая теги) и вставьте его в новый файл, например .lftp/mycert.crt. Затем добавьте полный путь к вашему пользовательскому файлу сертификата в .lftp/rc файл, например:

    установить ssl:ca-файл "/home/paolo/.lftp/mycert.crt"

Это решит проблему. Вы можете найти другой обходной путь как это, который предлагает отключить ssl в вашем файле conf (не рекомендуется) или добавить общесистемный сертификат (однако я предпочитаю добавлять локальный обходной путь). Обновление сертификатов, как описано здесь мне кажется, что это не работает (может быть, это временная проблема?). Если вы хотите отключить ssl, это также можно сделать для определенного домена, см. здесь.

Надеюсь это поможет

0 + 0
флаг cn
u_Ltd.
Получить сертификат еще проще: просто загрузите это: https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem в каталог загрузок. Затем используйте set ssl:ca-file "~/Downloads/isrg-root-x1-cross-signed.pem"
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.