Я столкнулся со странной проблемой, когда сервер, на котором запущен Debian 7, не подключается к некоторым веб-сайтам с использованием SSL. После отладки выясняется, что корневые сертификаты для этих сайтов неизвестны и, следовательно, не являются надежными. Случай, который я отлаживал, был от DigiCert "DigiCert Global Root G2".
Конечно, я пробовал обновить систему и запустить sudo update-ca-certificates
, но это не решило проблему. Однако, глядя на репозиторий Debian git, он выглядит так: CA-сертификаты актуальны. Фактически, тот, который я искал здесь.
Я что-то упускаю? Нужно ли мне делать что-то особенное, чтобы оставаться в курсе? Или версия в git просто еще не выпущена? В таком случае, что я могу сделать, чтобы быть в курсе последних событий? Я бы предпочел не добавлять вручную корневые сертификаты.
sudo apt-cache policy ca-certificates
ca-certificates:
Installed: 20130119+deb7u1
Candidate: 20130119+deb7u2
Version table:
20130119+deb7u2 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
*** 20130119+deb7u1 0
500 http://ftp.nl.debian.org/debian/ wheezy/main amd64 Packages
100 /var/lib/dpkg/status
Я не совсем уверен, что произошло, но я получаю это только после того, как изменил свой список источников. Учитывая, что это с security.debian.org, я беспокоюсь, что репо раньше не работало.
Вы можете попробовать обновить ссылки на сертификаты в /etc/ssl/certs
с участием
update-ca-certificates --fresh
который повторяет все символические ссылки в /etc/ssl/certs
. Если это не поможет, давайте посмотрим, актуальны ли ваши пакеты.
Убедитесь, что у вас есть безопасность репо в вашем /etc/apt/sources.list
выглядит так (добавить contrib
и non-free
как хотите)
deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main
или в вашем случае
deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main
тогда попробуйте
apt-get update && apt-get upgrade -y
проверить это через
apt-cache policy ca-certificates
и сравните установлены с участием кандидат пока этот это последняя версия.
Если вы не видите последнюю версию, возможно, ваш репозиторий устарел.
Не по теме
Debian имеет заявил об этом о том, что LTS на самом деле означает для них, начиная с 6.0.
Кроме того, LTS выполняется не группой безопасности Debian, которая обрабатывает исправления безопасности стабильных выпусков, а "отдельная группа волонтеров и заинтересованных компаний". Кроме того, они, кажется, выбирают и выбирают пакеты, цитируют"Количество пакетов, которые должным образом поддерживаются, напрямую зависит от уровня поддержки, которую мы получаем."
Насколько я понимаю, для Wheezy это означает, что, поскольку Джесси была выпущена 25 апреля 2016 года, вы можете ожидать своевременных обновлений безопасности и исправлений до 25 апреля 2016 г. - тем более, что Stretch вышел 17 июня 2017 года.
Но вы всегда можете связаться с ними и попросите помощи с LTS здесь.
Я столкнулся с той же проблемой на сервере, на котором все еще работает Squeeze. Я исправил это, вручную добавив требуемый корневой сертификат в /usr/share/ca-certificates/cacert.org/cacert.org.crt
файл:
su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh
Примечание: это не загружается из альтернативного места как его официальное местонахождение дает проблемы с DNS на момент написания.
Если это по-прежнему не работает, вы можете проверить содержимое /etc/ca-certificates.conf
файл. Он должен содержать запись en cacert.org/cacert.org.crt
(где-то вверху), который ссылается на указанный файл.