chứng chỉ lftp đột nhiên không được tin cậy

Kể từ một tuần trước, lftp không xác thực một trong các chứng chỉ gốc trên hệ thống của tôi

Chứng chỉ: CN=www.planete-sciences.org    
 Phát hành bởi: C=US,O=Let's Encrypt,CN=R3
 Kiểm tra đối chiếu: C=US,O=Let's Encrypt,CN=R3
  Đáng tin cậy
Chứng chỉ: C=US,O=Let's Encrypt,CN=R3
 Phát hành bởi: C=US,O=Internet Security Research Group,CN=ISRG Root X1
 Đang kiểm tra: C=US,O=Internet Security Research Group,CN=ISRG Root X1
  Đáng tin cậy
Chứng chỉ: C=US,O=Nhóm nghiên cứu bảo mật Internet,CN=ISRG Root X1
 Phát hành bởi: O=Digital Signature Trust Co.,CN=DST Root CA X3
LỖI: Xác minh chứng chỉ: Không đáng tin cậy (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
**** Xác minh chứng chỉ: Không đáng tin cậy (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
---- Fermeture du socket de contrôle
ls: Erreur fatale: Xác minh chứng chỉ: Không đáng tin cậy (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF )

Cả filezilla và firefox đều tin tưởng các chứng chỉ này.

Điều gì có thể là vấn đề và làm thế nào tôi có thể khắc phục nó?

Tôi có chính xác cùng một vấn đề. Tôi nghĩ rằng đó có thể là sự cố tạm thời với các bản cập nhật chứng chỉ/chuỗi, nhưng tôi không thể tìm thấy bất kỳ bằng chứng nào: một đồng nghiệp của tôi có thể đăng nhập vào cùng một phiên bản ftps mà không có bất kỳ lỗi nào. Như một giải pháp thay thế, bạn có thể thêm chứng chỉ bị thiếu theo cách thủ công. Lệnh sau:

    openssl s_client -connect www.planete-scatics.org:21 -starttls ftp -showcerts

sẽ truy xuất chuỗi chứng chỉ đầy đủ cho máy chủ ftp của bạn. Sao chép Gốc ISRG X1 chứng chỉ (khối cuối cùng được bao quanh bởi --GIẤY CHỨNG NHẬN BEGIN-- và --HẾT GIẤY CHỨNG NHẬN--, bao gồm các thẻ) và dán nó vào một tệp mới chẳng hạn .lftp/mycert.crt. Tiếp theo, thêm đường dẫn đầy đủ của tệp chứng chỉ tùy chỉnh của bạn vào .lftp/rc tập tin, ví dụ:

    đặt ssl:ca-file "/home/paolo/.lftp/mycert.crt"

Điều này sẽ khắc phục vấn đề. Bạn có thể tìm cách giải quyết khác như thế này, gợi ý tắt ssl trong tệp conf của bạn (không được khuyến nghị) hoặc thêm toàn bộ hệ thống chứng chỉ (tuy nhiên, tôi muốn thêm một giải pháp thay thế cục bộ). Cập nhật chứng chỉ như mô tả đây dường như không hoạt động với tôi (có thể là sự cố tạm thời?). Nếu bạn muốn tắt ssl, cũng có khả năng thực hiện việc này cho một miền cụ thể, xem đây.

Hi vọng điêu nay co ich

"DST Gốc CA X3" hết hạn, và lftp thực hiện riêng của mình xác minh chuỗi bị hỏng.

Nếu bạn là quản trị viên máy chủ, bạn có thể chuyển sang chuỗi thay thế (với chuỗi tự ký Gốc ISRG X1), sẽ khắc phục sự cố với lftp - nhưng phá vỡ các ứng dụng khách Android cũ hơn.