几周前(2021 年 9 月),LetsEncrypt改变了证书的签名方式,这可能会影响一些较旧的程序和客户端。我有一个标准的 Apache Web 服务器(来自 ubuntu 20.04 apt 的 stock v2.4.41)和几个 letsencrypt 证书。
有人报告说,使用 wget 等标准 unix 工具时,我提供了无效的 SSL 证书。我认为问题在于他们的 wget 无法支持这个新的 LE 证书。
我(和用户)如何才能发现问题是否真的出在他们身上?wget我的用户可以运行一些命令来告诉我他们的 wget 版本是否不支持这些新证书?我可以让他们运行什么命令,以便他们(和我)可以检测出问题是否出在他们身上,而不是我身上?
答案1
像以前一样,使用您选择的 TLS 测试器或仅使用浏览器来检查您的证书。
让用户更新他们的客户端软件。
这延长寿命 DST Root CA X3 十字标志主要是为了延长旧 Android 设备的使用寿命。当然,实施 TLS 并不是一件简单的事情。这一打击旧版 OpenSSL 1.0.2 中存在一个错误,导致无法按应有的方式进行验证。
wget 的这个问题需要:
- 编译
--with-ssl=openssl不是默认上游 - 旧的 OpenSSL 1.0.2 已终止使用,通常不应使用,但一些长期支持发行版会维护它。
例如,RHEL 7 应该会受到影响。EL7 通过更新 ca-certificates 使其不再包含过期的根来修复此问题。
另一个要尝试的是服务器端,通过使用备用 Let's Encrypt 链进行更新。删除 DST 根不再会混淆旧版 OpenSSL,但旧版 Android 将无法正常工作。