1 votos

No se puede obtener cURL o wget para validar algunos de los certificados SSL

Me he dado cuenta de que nuestro link checker, que utiliza cURL, falla más y más a menudo para validar los certificados SSL. Estoy tratando de llegar al fondo de esto.

https://www.bgetem.de/, por ejemplo, se abre correctamente en todos los navegadores (IE 11, Firefox, Opera, Chrome) en mi equipo con Windows 7, pero cURL (y wget) en mi CentOS 6 y Ubuntu 16.04 no puede validar el certificado.

Aquí es rizar el resultado detallado de CentOS (Versión curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2)

* About to connect() to www.bgetem.de port 443 (#0)
*   Trying 193.104.3.166... connected
* Connected to www.bgetem.de (193.104.3.166) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Peer's certificate issuer is not recognized: 'CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB'
* NSS error -8179
* Closing connection #0
* Peer certificate cannot be authenticated with known CA certificates

Y Ubuntu (Versión curl 7.47.0 (x86_64-pc-linux-gnu) libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8 libidn/1.32 librtmp/2.3):

* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 695 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
* Closing connection 0
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none

Alguna idea de cuál es el problema y cómo puedo solucionarlo?

1voto

HBruijn Puntos16577

Como el mensaje de error ya explica: los servidores certificado no puede ser autenticado con el conocido certificados de CA de la CAfile: /etc/pki/tls/certs/ca-bundle.crt (como el servidor de certificado emitido por una CA desconocido para el sistema).

Dos bastante común que los motivos de dicho mensaje:

  • El certificado es realmente firmado por un desconocido de CA (por ejemplo, un interno de la CA).
  • El certificado está firmado con un certificado de CA intermedia de uno de los bien conocidos de la CA y el servidor remoto está configurado en el sentido de que no incluye esa certificado de la CA intermedia como una cadena de CA es la respuesta.

Gracias por incluir el nombre de dominio: que nos permite probar el servidor SSL y confirmar: la cadena de CA está incompleta:

enter image description here

Como el admin de ese server se puede/debe arreglar la Cadena del Archivo para evitar que los "extras " descargar" secciones de la Ruta de Certificación.

Si no eres el administrador de ese servidor y quiere arreglar ese lado del cliente: descargar el certificado intermedio de sí mismo y agregar a los locales de almacén de confianza.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;