Назад | Перейти на главную страницу

Устаревшие корневые сертификаты Debian Wheezy

Я столкнулся со странной проблемой, когда сервер, на котором запущен Debian 7, не подключается к некоторым веб-сайтам с использованием SSL. После отладки выясняется, что корневые сертификаты для этих сайтов неизвестны и, следовательно, не являются надежными. Случай, который я отлаживал, был от DigiCert "DigiCert Global Root G2".

Конечно, я пробовал обновить систему и запустить sudo update-ca-certificates, но это не решило проблему. Однако, глядя на репозиторий Debian git, он выглядит так: CA-сертификаты актуальны. Фактически, тот, который я искал здесь.

Я что-то упускаю? Нужно ли мне делать что-то особенное, чтобы оставаться в курсе? Или версия в git просто еще не выпущена? В таком случае, что я могу сделать, чтобы быть в курсе последних событий? Я бы предпочел не добавлять вручную корневые сертификаты.

Обновить

sudo apt-cache policy ca-certificates
ca-certificates:
  Installed: 20130119+deb7u1
  Candidate: 20130119+deb7u2
  Version table:
     20130119+deb7u2 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
 *** 20130119+deb7u1 0
        500 http://ftp.nl.debian.org/debian/ wheezy/main amd64 Packages
        100 /var/lib/dpkg/status

Я не совсем уверен, что произошло, но я получаю это только после того, как изменил свой список источников. Учитывая, что это с security.debian.org, я беспокоюсь, что репо раньше не работало.

Вы можете попробовать обновить ссылки на сертификаты в /etc/ssl/certs с участием

update-ca-certificates --fresh

который повторяет все символические ссылки в /etc/ssl/certs. Если это не поможет, давайте посмотрим, актуальны ли ваши пакеты.

Убедитесь, что у вас есть безопасность репо в вашем /etc/apt/sources.list выглядит так (добавить contribи non-free как хотите)

deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main

или в вашем случае

deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main

тогда попробуйте

apt-get update && apt-get upgrade -y

проверить это через

apt-cache policy ca-certificates

и сравните установлены с участием кандидат пока этот это последняя версия.

Если вы не видите последнюю версию, возможно, ваш репозиторий устарел.


Не по теме

Debian имеет заявил об этом о том, что LTS на самом деле означает для них, начиная с 6.0.

Кроме того, LTS выполняется не группой безопасности Debian, которая обрабатывает исправления безопасности стабильных выпусков, а "отдельная группа волонтеров и заинтересованных компаний". Кроме того, они, кажется, выбирают и выбирают пакеты, цитируют"Количество пакетов, которые должным образом поддерживаются, напрямую зависит от уровня поддержки, которую мы получаем."

Насколько я понимаю, для Wheezy это означает, что, поскольку Джесси была выпущена 25 апреля 2016 года, вы можете ожидать своевременных обновлений безопасности и исправлений до 25 апреля 2016 г. - тем более, что Stretch вышел 17 июня 2017 года.

Но вы всегда можете связаться с ними и попросите помощи с LTS здесь.

Я столкнулся с той же проблемой на сервере, на котором все еще работает Squeeze. Я исправил это, вручную добавив требуемый корневой сертификат в /usr/share/ca-certificates/cacert.org/cacert.org.crt файл:

su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh

Примечание: это не загружается из альтернативного места как его официальное местонахождение дает проблемы с DNS на момент написания.

Если это по-прежнему не работает, вы можете проверить содержимое /etc/ca-certificates.conf файл. Он должен содержать запись en cacert.org/cacert.org.crt (где-то вверху), который ссылается на указанный файл.