Lynx 认为我的配置文件中的所有证书都不可信

tag-icon tag-icon ssl https lynx
Lynx 认为我的配置文件中的所有证书都不可信

我正在尝试访问我认为是有效的 ssl 认证页面,https://google.com,但山猫总是说SSL error:The certificate is NOT trusted. The certificate is...-Continue? (n)

除了以下配置文件之外,我没有对 lynx 进行任何配置:

SET_COOKIES:TRUE
ACCEPT_ALL_COOKIES:TRUE
PERSISTENT_COOKIES:TRUE
COOKIE_FILE:$home/.lynx_cookies

为什么我会收到此警告并提示按“y”继续?如果我访问的每个网站实际上都是不受信任的,我不明白这一点。

要重现它,就像lynx -cfg=lynx.cfg https://google.com上面lynx.cfg一样。

编辑

回答评论中的一些问题。

文件夹 /etc/ssl/certs/ 中有很多东西,除非很重要,否则我不会列出所有内容。

运行ldd $(which lynx) |grep -i ssl没有输出。

文件 /etc/lynx/lynx.cfg 有这一行SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt... grep 的其他匹配SSL_CERT似乎只是注释

运行openssl s_client -quiet -connect google.com:443显示:

depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = *.google.com
verify return:1

答案1

问题是,当我使用该cfg=选项加载自定义配置文件时,它不再加载位于 的默认配置文件/etc/lynx/lynx.cfg

答案2

确保系统时钟正确。由于日期和时间不正确,浏览器可能会显示 SSL 警告。

答案3

消息是(参见WWW/库/实现/HTTP.c):

the certificate is not trusted

(没有NOT在 lynx 的源代码中,尽管它用于Debian #795958)。该消息来自 lynx 的 gnutls 配置,因此 OP 很可能使用 Debian 或衍生发行版(例如 Ubuntu)。其他人都使用 OpenSSL 进行打包。

它可能来自 gnutls 本身,如中所述[gnutls-devel] 无法信任服务器证书而不是颁发 CA,但由于缺乏版本信息,无法查明确切的问题。

除非有一些新的错误报告(顺便说一句,StackExchange 不是错误报告机制),自 2006 年引入以来,这些更改一直与该代码区域相关(请参阅变化)。最近有更多的 gnutls 更改,但与此问题相关的更改摘要中没有明显的内容:

2013-11-28 (2.8.8dev.17)
* ignore non-fatal return codes from gnutls_handshake introduced by SNI change  
  in 2.8.8dev.15 (Debian #724812, patch by Hans Wurst).
2012-11-18 (2.8.8dev.15)
* improve checking of certificates in the gnutls_certificate_verify_peers2()    
  by handling special case where self-signed certificates should be reported    
  (patch by Jamie Strandboge).                                                   
2012-08-15 (2.8.8dev.13) 
* improve checking of certificates in the gnutls_certificate_verify_peers2()    
  (report by Martin Georgiev) -TD
2010-06-21 (2.8.8dev.4)                                                         
* check for SSL error when reading response from "GET".  This incidentally      
  exposes a longstanding bug in GNUTLS:                                         
    https://savannah.gnu.org/support/index.php?106987                           
  (google the message "A TLS packet with unexpected length was received")       
  which prevents connection to                                                  
    https://www.mynortonaccount.com/amsweb/default.do                           
  (report by Ignac Vucko) -TD 
2009-08-28 (2.8.8dev.1)
* correct check for return-value from gnutls_certificate_verify_peers2(), which 
  in conjunction with unclean internals of gnutls caused caused some sites to   
  be treated as if they were version-1 X.509 CAs (Debian #231609,               
  Ubuntu 293708) -TD

Debian 和 Ubuntu 都有错误报告系统; Debian 为 lynx 提供了最好的反馈。现有错误报告(以及新报告)的后续工作应直接发送给错误报告系统。

相关内容