あるクライアントは「証明書の期限切れ」で失敗し、もう一方のクライアントは正常に動作します。

tag-icon tag-icon debian ssl certificates
あるクライアントは「証明書の期限切れ」で失敗し、もう一方のクライアントは正常に動作します。

マシンが2台あります。 1つはFedora(30)を実行し、もう1つはDebian(バスター)を実行します。

curl https://www.ultimate-guitar.com/Fedoraシステムでこれを実行すると、期待される応答が得られます。しかし、Debianシステムで同じコマンドを実行するとcurl: (60) SSL certificate problem: certificate has expired

Debian では -v フラグを使用してください。

$ curl -v https://www.ultimate-guitar.com/
*   Trying 205.185.216.42...
* TCP_NODELAY set
* Connected to www.ultimate-guitar.com (205.185.216.42) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: certificate has expired
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

その Debian マシンには、vim と docker を除いて (手動で) パッケージをほとんどインストールしませんでした。

私はopensslパッケージを更新する必要があると思って実行しましたが、apt update問題apt upgradeは消えませんでした...

ちなみに、私のDebianコンピュータで問題なく他のサイトにアクセスできます。たとえば、次のようになります。 (curl https://ultimate-guitar.com/しませんでしたwww.。)うまくいきます。

私が見つけたもう一つの興味深い点は、次のように証明書を検証したときに表示される警告でした。このウェブサイト:

ここに画像の説明を入力してください。

これが何を意味するのかわかりません。私のFedoraシステムに証明書の問題がないことを見ると理解できません。

どんな助けでも大変感謝します。

ベストアンサー1

AddTrust証明書をコメントアウトしてこの問題を解決しました。

ただ変えました。

mozilla/AddTrust_External_Root.crt

到着

!mozilla/AddTrust_External_Root.crt

存在する/etc/ca-certificates.conf

そして彼は逃げたupdate-ca-certificates

利用できない場合は、update-ca-certificatesパッケージをインストールする必要がありますca-certificates

apt-get update && apt-get install ca-certificates

おすすめ記事