ssl сертефикаты

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

ssl сертефикаты

Сообщение paunin » Ср сен 18, 2013 9:47 pm

Писал пару раз оп роблемах с ssl - 0 реакции - только автоответы, может у кого еще такие проблемы?

От: Паунин Дмитрий - 2013-09-18 15:34:26
с моего ВПС не воспринимает ssl сертефикаты github(и других сервисов), однако с других серверов(не на площадке) всё ОК. полагаю что сертификат портится по дороге к ВПС? (ввиду этого не могу ничего склонировать и тд)
Ниже лог с моего и другого сервера соответственно

[root@s /home/paunin/data/www]# wget https://github.com
--2013-09-18 15:18:35-- https://github.com/
Resolving github.com (github.com)... 192.30.252.131
Connecting to github.com (github.com)|192.30.252.131|:443... connected.
ERROR: cannot verify github.com's certificate, issued by '/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV CA-1':
Unable to locally verify the issuer's authority.
To connect to github.com insecurely, use `--no-check-certificate'.

---------------

paunin@vps2505:~$ wget https://github.com
--2013-09-18 18:19:12-- https://github.com/
Распознаётся github.com... 192.30.252.129
Устанавливается соединение с github.com|192.30.252.129|:443... соединение установлено.
Запрос HTTP послан, ожидается ответ... 200 OK
Длина: 12449 (12K) [text/html]
Saving to: «index.html.2»

100%[======================================>] 12 449 --.-K/s в 0s

2013-09-18 18:19:12 (152 MB/s) - «index.html.2» saved [12449/12449]
От: - 2013-09-18 15:34:26
В данный момент на физическом сервере, где располагается ваш VDS, зафиксирован сбой, специалисты уже ведут работы по восстановлению работоспособности услуги. Более подробную информацию о ходе работ вы можете узнать в BILLmanager в разделе "Инциденты".
paunin
 
Сообщений: 8
Зарегистрирован: Ср сен 18, 2013 9:42 pm

Re: ssl сертефикаты

Сообщение ls » Ср сен 18, 2013 9:51 pm

Не может такого быть ("портится по дороге"), проблема в том, что ваш wget не знает о центре сертификации который выпустил сертификат, возможно, что у вас стоит устаревшая версия пакета ca_root_nss (название может варьировать в зависимости от ОС, пакет содержит сертификаты корневых центров сертификации и используется для проверки валидности сертификатов сайтов)
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6390
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: ssl сертефикаты

Сообщение paunin » Чт сен 19, 2013 10:40 am

ls писал(а):Не может такого быть ("портится по дороге"), проблема в том, что ваш wget не знает о центре сертификации который выпустил сертификат, возможно, что у вас стоит устаревшая версия пакета ca_root_nss (название может варьировать в зависимости от ОС, пакет содержит сертификаты корневых центров сертификации и используется для проверки валидности сертификатов сайтов)


Да но я ничего не делал по этому поводу...и не обновлял и не устанавлва, VDS из коробки (просто давно)
Wget это как следствие. а обнаружил это когда не смог клонировать GIT ом ничего.

Это собственно не моя вина. мне за это платить нужно если я хочу чтобы мне помогли?
PS
деньги вернут если не моя проблема или не по моей вине?

Или подскажите что можно сделать своими руками просто :)

Код: выделить все
s# uname -a
FreeBSD s.paunin.com 8.4-STABLE FreeBSD 8.4-STABLE #0 r149M: Mon Jun 10 08:43:20 UTC 2013     root@freebsd8-amd64-build.ispsystem.net:/root/src/sys/amd64/compile/DEBUG  amd64
paunin
 
Сообщений: 8
Зарегистрирован: Ср сен 18, 2013 9:42 pm

Re: ssl сертефикаты

Сообщение paunin » Чт сен 19, 2013 10:52 am

Переустановил порт ca_root_nss-3.14.3
Всё осталось по прежднему....
paunin
 
Сообщений: 8
Зарегистрирован: Ср сен 18, 2013 9:42 pm

Re: ssl сертефикаты

Сообщение oneingray » Чт сен 19, 2013 7:56 pm

Стоит сравнить базы доверенных сертификатов (/usr/local/share/certs, AIUI) между серверами.
oneingray
 
Сообщений: 21
Зарегистрирован: Вс сен 04, 2011 11:24 am

Re: ssl сертефикаты

Сообщение lamnya » Пт сен 20, 2013 3:21 am

у wget'a есть пара полезных ключей:
--no-check-certificate - игнорирование сертификата, но я так понимаю вам нужно чтобы все таки сертификат не игнорировался.
--ca-directory - задает директорию в которой содержатся сертификаты корневых центров сертификации в формате pem, можно скачать нужные и указывать директорию куда скачали.
lamnya
 
Сообщений: 185
Зарегистрирован: Сб ноя 05, 2011 5:18 am


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2