24 votos

¿Por qué wget no verifica los certificados SSL?

Tengo un problema con mi Fedora 8 instalación. Parece que wget ya no sabe cómo verificar los certificados SSL. Es extraño porque tengo otro Fedora 8 ¡caja que creo que tiene la misma configuración y funciona!

¿Cómo puedo hacer que funcione sin utilizar el interruptor "`--no-check-certificate"?

Este es un ejemplo de salida:

wget https://www.google.com
--2011-09-23 00:11:13--  https://www.google.com/
Resolving www.google.com... 74.125.230.146, 74.125.230.147, 74.125.230.148, ...
Connecting to www.google.com|74.125.230.146|:443... connected.
ERROR: cannot verify www.google.com's certificate, issued by `/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA':
  Unable to locally verify the issuer's authority.
To connect to www.google.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

EDITAR

Tengo este archivo /etc/pki/tls/certs/ca-bundle.crt y cuando ejecuto wget con --ca-certificado interruptor apuntando a este archivo todo va bien. ¿Dónde debería colocar este archivo para no tener que usar el interruptor?

BTW: rizo y enlaces funcionan bien, pero lince también se queja: "SSL error:unable to get local issuer certificate" así que esto no es sólo wget El número de...

12voto

Luke Puntos 1

Por defecto, wget buscará los certificados en la ruta definida en el archivo openssl conf /etc/pki/tls/openssl.cnf (no estoy seguro de que la ruta sea correcta para fc8). Por favor, compruebe el archivo de configuración de openssl y confirme que las rutas son correctas. Puede ser que sea openssl, que necesita ser corregido.

11voto

Amja Puntos 63

Tuve problemas con wget al no encontrar mis certificados así que instalé ca-certificates

sudo apt install ca-certificates

luego edité:

sudo vi /etc/wgetrc

y añadió

ca_directory=/etc/ssl/certs

o puede utilizar este comando para añadirlo al final:

printf "\nca_directory=/etc/ssl/certs" | sudo tee -a /etc/wgetrc

5voto

Shane Madden Puntos 81409

Tu sistema no confía en la cadena de firmas del certificado de Google.

Además, no presentan la cadena de certificados completa, sino sólo el certificado de su emisor; no es 100% correcto, pero ciertamente nada debería impedirte validar la cadena.

Es probable que su sistema antiguo tenga un conjunto igualmente antiguo de autoridades de certificados root de confianza.

Confíe en el certificado correcto de VeriSign ( aquí ), y deberías estar bien.

4voto

David Schwartz Puntos 22683

Debe reunir una lista de los certificados root en los que desea confiar y decirle a wget cómo encontrarlos utilizando el --ca-certificate o --ca-directory opción. Es posible que ya tenga una en /etc/pki/tls/certs si tiene instalado el paquete correspondiente.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: