проверка действительного сертификата SSL сообщает как «Самоподписанный» и не работает на ubuntu 14.04 для сайтов, подписанных Godaddy CA, несмотря на то, что корневые CA установлен

Когда вы используете -rk6,6, опция -r применяется глобально, то есть ко всем клавишам. Это все равно, что сделать:

sort -t"," -r -k1,1 -k3,3 -k4,4 -k6,6 myFile.csv 

С другой стороны, -k6,6r применит r только к шестому полю, т.е. применяется индивидуально.

0
20.06.2018, 21:24
1 ответ

Как отредактировано, большая часть вашего вопроса, вероятно, является перекрестным дублированиемhttps://superuser.com/questions/903247/ssl-root-ca-certificate-is-not-recognized-although-present-in-the-trust-storeиhttps://serverfault.com/questions/607233/how-to-make-openssl-s-client-using-default-c.

Я не подтвердил исходный код Ubuntu, но Ubuntu 14.04 номинально использует OpenSSL 1.0.1f, в восходящем потоке которого есть ошибка, из-за которойs_client(и некоторые другие )не используют хранилище доверенных сертификатов по умолчанию, если вы не укажете какой-либо -CA{path,file}, а в версии 16.04 используется версия 1.0.2g, в которой это исправлено. (По-видимому, то же самое произошло и с версией 16.10, но это была не LTS, и она больше не поддерживается.)

Файл конфигурации не имеет значения; s_clientне использует никаких настроек файла конфигурации, кроме «библиотеки -global» для ENGINE и addOID, ни один из которых не имеет отношения к этой проблеме.

Но обратите внимание, что www.tcell.io(, куда ваш wgetбыл перенаправлен, )и api.tcell.io(, куда вы сказали openssl s_clientподключиться ), — это разные машины. По данным www.ssllabs.com/ssltest:

  • api.tcell.io52.8.231.1 правильно обслуживает сертификат GoDaddy -SecureG2 (серийный номер 00c8c641d43c76286c )с необходимыми сертификатами цепочки (, а точнее #2 и #3; #4 является корнем и не является обязательным, но допустимым)

  • www.tcell.io13.57.73.170 обслуживает тот же сертификат, но НЕ цепные сертификаты, в нарушение RFC (, которые могут снизить его класс, за исключением того, что он ТАКЖЕ использует DH -1024, который уже ограничивает его до B ). Без цепных сертификатов wgetне удалось проверить сертификат. Если установленный вами «пакет» добавил сертификаты цепочки в ваше хранилище доверенных сертификатов, что не соответствует тому, как должна работать веб--PKI, то wgetс помощью OpenSSL можно построить цепочку и проверить Это.

1
28.01.2020, 02:42

Теги

Похожие вопросы