Điểm:0

Làm cách nào để biết liệu wget có thể hỗ trợ chứng chỉ ISRG Root X1 mới của LetsEncrypt sau khi Hết hạn DST Root CA X3 hay không

lá cờ bg

Vài tuần trước (tháng 9 năm 2021), LetsEncrypt đã thay đổi cách ký chứng chỉ của họ, có thể ảnh hưởng đến một số chương trình và máy khách cũ hơn. Tôi có một máy chủ web Apache tiêu chuẩn (stock v2.4.41 từ ubuntu 20.04 apt) với một số chứng chỉ letencrypt.

Một số người đang báo cáo nhận được chứng chỉ ssl không hợp lệ từ tôi khi sử dụng các công cụ unix tiêu chuẩn như wget. Tôi nghĩ vấn đề là wget của họ không thể hỗ trợ chứng chỉ LE mới này.

Làm cách nào để tôi (& người dùng) tìm hiểu xem vấn đề có thực sự xảy ra với họ không? Có một số quên đi lệnh mà người dùng của tôi có thể chạy sẽ cho tôi biết liệu phiên bản wget của họ có hỗ trợ các chứng chỉ mới này không? Tôi có thể cho họ chạy lệnh nào để họ (& tôi) có thể phát hiện xem sự cố xảy ra với họ chứ không phải tôi?

Paul avatar
lá cờ cn
Tất cả những gì tôi đã làm để hiểu điều gì đang xảy ra với mình là chạy thử nghiệm tại Qualys SSL Server test. Nó báo cáo những chứng chỉ nào được cung cấp bởi máy chủ và từ đó tìm ra rằng máy khách có một số loại vấn đề. Hãy xem phiên bản `wget` và cửa hàng ủy thác của hệ điều hành. Bạn cũng có thể sử dụng `--no-check-certificates` để tắt chức năng trong `wget`, nhưng khi đó bạn đang tắt khả năng xác minh máy chủ, nửa còn lại của mã hóa truyền tải.
dave_thompson_085 avatar
lá cờ jp
@Paul + đó là phiên bản OpenSSL được sử dụng _by_ wget (nếu có, như ghi chú câu trả lời) mới là vấn đề, không phải phiên bản của wget. Trên Linux và có thể là hầu hết Unix, hãy kiểm tra xem `ldd $( which wget)` có liên kết `libssl` và `libcrypto` với các thư viện do hệ thống cung cấp, thư viện tùy chỉnh hay không (liên kết tĩnh). Đầu tiên, hãy kiểm tra phiên bản của các thư viện do hệ thống cung cấp; đối với hai cái còn lại không có cách nhất quán.
Paul avatar
lá cờ cn
@dave_thompson_085 Sai về mặt lịch sử: https://stackoverflow.com/questions/30817876/wget-ssl-alert-handshake-failure
dave_thompson_085 avatar
lá cờ jp
@Paul+ rằng Q là dành cho SNI, một vấn đề rất khác đã xảy ra với wget và phải được sửa ở đó. Sự cố LE/DST trong Q này thực sự là một lỗi OpenSSL và _can_ được khắc phục bằng cách thay đổi _only_ OpenSSL -- xem https://pastebin.com/ZkdEpL6H -- nhưng khi thử nghiệm ** bạn nói đúng _ also_: wget 1.20.2 up có một thay đổi bỏ qua lỗi OpenSSL**.
Điểm:1
lá cờ cn

Kiểm tra chứng chỉ của bạn như trước đây, với sự lựa chọn của người kiểm tra TLS hoặc chỉ một trình duyệt.

Yêu cầu người dùng cập nhật phần mềm máy khách của họ.

Các kéo dài tuổi thọ DST Root CA X3 ký chéo chủ yếu là để kéo dài tuổi thọ của các thiết bị Android cũ. Tất nhiên không có gì liên quan đến việc triển khai TLS là đơn giản. cú đánh này một lỗi trong OpenSSL 1.0.2 cũ trong đó lỗi này không hợp lệ như bình thường.

Vấn đề này với wget yêu cầu:

  • biên soạn --with-ssl=openssl đó không phải là thượng nguồn mặc định
  • OpenSSL 1.0.2 cũ đã hết tuổi thọ, thông thường không nên sử dụng, nhưng một số bản phân phối hỗ trợ dài hạn vẫn duy trì nó.

Ví dụ, RHEL 7 sẽ bị ảnh hưởng. EL7 đã sửa nó bằng cách cập nhật chứng chỉ ca để không còn chứa gốc đã hết hạn.

Một thứ khác cần thử là phía máy chủ, bằng cách gia hạn bằng chuỗi Let's Encrypt thay thế. Bỏ root DST không còn gây nhầm lẫn cho OpenSSL cũ, nhưng Android cũ sẽ không hoạt động.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.