我正在尝试删除过期的DST 根 CA X3让我们从 Debian 服务器加密 SSL 证书(昨天已过期),当我在 SSL Labs 检查时它仍然出现:
RSA 2048 bits (e 65537) / SHA1withRSA
Valid until: Thu, 30 Sep 2021 14:01:15 UTC
EXPIRED
Weak or insecure signature, but no impact on root certificate
当对服务器进行一些调用时,我仍然收到“不受信任”的消息,我相信这就是原因。
上述内容出现在 SSL Labs 报告中的“路径 #2:不受信任”下,我想将其删除以查看是否是此原因。
我已经这样做了:
- 注释掉
DST Root CA X3
/etc/ca-certificates.conf
- 执行了
update-ca-certificates
(显示 1 已移除) - 更新
certbot
并续订了服务器的证书。
但是还是会出现这个情况,如何去除呢?
提前致谢。
答案1
您的网络服务器提供您的 SSL 证书和证书链(可选)。您的网络服务器是 *不是发送根证书,因为客户端计算机上只使用/信任已安装的根证书。安装在 Web 服务器上的根证书对客户端浏览器没有任何影响。
这意味着您的 SSL 证书正在通过信任链引用根证书。客户端正在使用其自己本地安装的根证书。
解决方案:颁发(请求)并安装新的 SSL 证书,然后重新启动 Web 服务器。这将删除对不良/过期/无效根证书的引用。
答案2
尝试这个:
sudo dpkg-重新配置 ca 证书