从一周前开始,lftp 不再验证我系统上的某个根证书
Certificate: CN=www.planete-sciences.org
Issued by: C=US,O=Let's Encrypt,CN=R3
Checking against: C=US,O=Let's Encrypt,CN=R3
Trusted
Certificate: C=US,O=Let's Encrypt,CN=R3
Issued by: C=US,O=Internet Security Research Group,CN=ISRG Root X1
Checking against: C=US,O=Internet Security Research Group,CN=ISRG Root X1
Trusted
Certificate: C=US,O=Internet Security Research Group,CN=ISRG Root X1
Issued by: O=Digital Signature Trust Co.,CN=DST Root CA X3
ERROR: Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
**** Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
---- Fermeture du socket de contrôle
ls: Erreur fatale: Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
filezilla 和 Firefox 都信任这些证书。
可能存在什么问题?我该如何解决?
答案1
我遇到了完全相同的问题。我认为这可能是证书/链更新的临时问题,但我找不到任何证据:我的同事可以登录到同一个 ftps 实例而不会出现任何错误。作为一种解决方法,您可以手动添加丢失的证书。以下命令:
openssl s_client -connect www.planete-sciences.org:21 -starttls ftp -showcerts
应检索 FTP 服务器的完整证书链。复制ISRG 根 X1证书(最后一个区块,由--BEGIN CERTIFICATE--和--END CERTIFICATE--,标签组成)并将其粘贴到新文件中,例如.lftp/mycert.crt。接下来在文件中添加自定义证书文件的完整路径.lftp/rc,例如:
set ssl:ca-file "/home/paolo/.lftp/mycert.crt"
这将修复该问题。您可以找到其他解决方法像这样,建议在 conf 文件中禁用 SSL(不推荐)或在整个系统范围内添加证书(但是,我更喜欢添加本地解决方法)。 按照所述更新证书这里对我来说似乎不起作用(可能是暂时的问题?)。如果您想禁用 SSL,也可以针对特定域执行此操作,请参阅这里。
希望这可以帮助
答案2
“DST 根 CA X3”已到期, 和lftp实施了自己的断链验证。
如果你是服务器管理员,你可以切换到备用链(使用自签名ISRG Root X1),这应该可以解决问题lftp- 但是破坏旧版 Android 客户端。