Tại sao Debian 11 vẫn có chứng chỉ DST Root CA X3 đã hết hạn?

PierreF

07:15, 04/02/2023

Trên máy chủ Debian 11 cập nhật, tôi nhận thấy chứng chỉ DST Root CA X3 đã hết hạn vẫn còn:

$ grep DST /etc/ca-certificates.conf 
mozilla/DST_Root_CA_X3.crt

Chứng chỉ này đã hết hạn từ tuần trước:

$ openssl x509 -in /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt -text | grep "Không phải sau"
            Không phải sau : Ngày 30 tháng 9 14:01:15 2021 GMT

Tôi biết tôi có thể vô hiệu hóa nó (đặt trước nó bằng ! Trong /etc/ca-certificates.conf + cập nhật-ca-chứng chỉ), nhưng tôi thắc mắc tại sao Debian giữ các chứng chỉ đã hết hạn này ? Nâng cấp apt có nên xóa nó không?

Của tôi chứng chỉ ca phiên bản và nguồn apt của tôi như sau (sau cập nhật/nâng cấp apt-get):

$ dpkg -l | chứng chỉ grep ca
ii chứng chỉ ca 20210119 tất cả chứng chỉ CA chung

$ grep -v "^#" /etc/apt/sources.list
deb http://deb.debian.org/debian bullseye chính
deb http://security.debian.org/debian-security bullseye-security chính
deb http://deb.debian.org/debian bullseye-updates chính

1541

0 + 0

tệp nhật ký

cơ quan cấp chứng chỉ

cho phép mã hóa

drookie

07:23, 04/02/2023

Bạn đã thử cập nhật gói chứng chỉ ca chưa?

Hồi đáp

PierreF

07:26, 04/02/2023

Có, nó vẫn ở cùng một phiên bản và giữ chứng chỉ đã hết hạn này. Câu hỏi của tôi là: đó có phải là hành vi "được mong muốn" ở phía Debian để giữ chứng chỉ đã hết hạn này hay phiên bản mới hơn của chứng chỉ ca là "muộn"?

Hồi đáp

Gerald Schneider

07:31, 04/02/2023

Tại sao phải cập nhật một gói chỉ vì một chứng chỉ đã hết hạn? Nó không đau nếu nó ở đó. Tôi chắc chắn rằng nó sẽ bị xóa ở chu kỳ cập nhật định kỳ tiếp theo của gói.

Hồi đáp

Håkan Lindqvist

07:50, 04/02/2023

Tôi không biết lý do chính xác của họ là gì, nhưng tôi cho rằng việc cập nhật gói liên quan đến vấn đề này là không cấp bách theo bất kỳ cách nào. Chứng chỉ đã hết hạn, nó sẽ không gây hại gì (thậm chí nó có thể tạo ra một thông báo lỗi tốt hơn để giữ nó xung quanh). Tại sao bạn lại xem xét việc vô hiệu hóa chứng chỉ đã hết hạn theo cách thủ công, có vẻ như câu hỏi này có điều gì đó nhiều hơn những gì được nêu rõ ràng?

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why does Debian 11 still have the expired DST Root CA X3 certificate?

TH: เหตุใด Debian 11 จึงยังคงมีใบรับรอง DST Root CA X3 ที่หมดอายุแล้ว

RO: De ce Debian 11 mai are certificatul DST Root CA X3 expirat?

RU: Почему в Debian 11 все еще есть сертификат DST Root CA X3 с истекшим сроком действия?

VI: Tại sao Debian 11 vẫn có chứng chỉ DST Root CA X3 đã hết hạn?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.