Tôi đang chẩn đoán sự cố xác minh chứng chỉ TLS trong Ubuntu Xenial do sự cố gần đây Hãy mã hóa hết hạn chứng chỉ gốc. Sự cố xảy ra trong cURL sử dụng GnuTLS dưới mui xe -- vì vậy tôi đã sử dụng gnutls-cli để chẩn đoán nó (khi sử dụng opensl, một sự cố khác xảy ra ngay cả trước khi xác minh chứng chỉ -- vì vậy nó không có tác dụng gì).
Mặc dù thực tế là tôi đã cập nhật chứng chỉ DST Root CA X3 (với apt cài đặt chứng chỉ ca) và xác nhận rằng bằng cách so sánh nội dung của /usr/share/ca-chứng chỉ/mozilla/ (theo tên tệp, kích thước và tổng MD5) trên máy gặp sự cố và trên một máy khác không có lỗi, sự cố vẫn tiếp diễn. Phân biệt nội dung của /etc/ssl/certs/ca-certificates.crt (là tệp mà GnuTLS trực tiếp sử dụng, được cho là được tạo tự động từ thư mục cũ bởi /usr/sbin/update-ca-chứng chỉ) không cho thấy sự khác biệt, nhưng chứng chỉ DST Root CA X3 không nằm trong số đó.
Bây giờ tôi bị mắc kẹt ở điểm mà tôi có thể tạo lại sự cố với gnutls-cli -- nhưng nó không hiển thị chứng chỉ gốc mà nó sử dụng, chỉ chuỗi chứng chỉ do máy chủ cung cấp là được:
$ gnutls-cli download.clis.cloud.ibm.com --print-cert </dev/null 2>&1
Đã xử lý 129 chứng chỉ CA.
Đang giải quyết 'download.clis.cloud.ibm.com'...
Đang kết nối với '69.192.0.152:443'...
- Loại chứng chỉ: X.509
- Có danh sách chứng chỉ gồm 3 chứng chỉ.
- Thông tin chứng chỉ[0]:
- chủ đề `CN=cert-00045-cdnedge-bluemix.akamaized.net', nhà phát hành `C=US,O=Let's Encrypt,CN=R3', khóa RSA 2048 bit, được ký bằng RSA-SHA256, được kích hoạt `2021-10 -19 02:05:23 UTC', hết hạn `2022-01-17 02:05:22 UTC', dấu vân tay SHA-1 `8a13f222870579984cf6a0c6cf8ebfe6f122eb0b'
ID khóa công khai:
8bb871d529bc8edcd0158b6a16787990e7334bc9
Nghệ thuật ngẫu nhiên của khóa công khai:
<...>
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<...>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
- Thông tin chứng chỉ[1]:
- chủ đề `C=US,O=Let's Encrypt,CN=R3', nhà phát hành `C=US,O=Internet Security Research Group,CN=ISRG Root X1', khóa RSA 2048 bit, được ký bằng RSA-SHA256, được kích hoạt ` 2020-09-04 00:00:00 UTC', hết hạn `2025-09-15 16:00:00 UTC', dấu vân tay SHA-1 `a053375bfe84e8b748782c7cee15827a6af5a405'
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<...>
AYYwHQYDVR*** Lỗi nghiêm trọng: Lỗi trong chứng chỉ.
*** Bắt tay không thành công
Lỗi GnuTLS: Lỗi trong chứng chỉ.
<...>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
- Thông tin chứng chỉ[2]:
- chủ đề `C=US,O=Internet Security Research Group,CN=ISRG Root X1', nhà phát hành `O=Digital Signature Trust Co.,CN=DST Root CA X3', khóa RSA 4096 bit, được ký bằng RSA-SHA256, đã kích hoạt `2021-01-20 19:14:03 UTC', hết hạn `2024-09-30 18:14:03 UTC', dấu vân tay SHA-1 `933c6ddee95c9c41a40f9f50493d82be03ad87bf'
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<...>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
- Trạng thái: Chứng chỉ KHÔNG đáng tin cậy. Chuỗi chứng chỉ sử dụng chứng chỉ đã hết hạn.
*** Xác minh PKI của chứng chỉ máy chủ không thành công...
Cho nên Tôi không thể thấy chứng chỉ cục bộ nào gây ra sự cố. Có cách nào để lấy thông tin này?
