Debian 7を実行しているサーバーがSSLを使用して一部のWebサイトに接続できないという奇妙な問題に遭遇しました。デバッグ後、これらのサイトのルート証明書は不明であり、したがって信頼されていないことがわかります。私がデバッグしていたのは、DigiCert "DigiCert Global Root G2"でした。
もちろん、システムをアップデートしてSudo update-ca-certificates
、しかしそれは問題を解決しませんでした。ただし、Debianのgitリポジトリを見ると、 ca-certificates is up-to-date のように見えます。実際、私が探していたものは あります です。
何か不足していますか?最新の状態に保つために何か特別なことをする必要がありますか?または、gitのバージョンがまだリリースされていないだけですか?その場合、どうすれば最新の状態にするにはどうすればよいですか?ルート証明書を手動で追加したくない。
Sudo apt-cache policy ca-certificates
ca-certificates:
Installed: 20130119+deb7u1
Candidate: 20130119+deb7u2
Version table:
20130119+deb7u2 0
500 http://security.debian.org/ wheezy/updates/main AMD64 Packages
*** 20130119+deb7u1 0
500 http://ftp.nl.debian.org/debian/ wheezy/main AMD64 Packages
100 /var/lib/dpkg/status
何が起こったのか正確にはわかりませんが、ソースリストを変更した後にのみ、これを取得しています。 security.debian.orgからのものであることを考えると、以前はリポジトリが機能していなかったのではないかと心配しています。
/etc/ssl/certs
の証明書リンクを試して更新することができます
update-ca-certificates --fresh
/etc/ssl/certs
のすべてのシンボリックリンクをやり直します。それでも解決しない場合は、パッケージが最新かどうかを確認してください
securityリポジトリが/etc/apt/sources.list
に次のようになっていることを確認します(contrib
とnon-free
を追加します願い)
deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main
またはあなたの場合
deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main
してみてください
apt-get update && apt-get upgrade -y
それを確認する
apt-cache policy ca-certificates
そして、installedとcandidateを比較しますが、 this は最新バージョンです。
最新バージョンが表示されない場合は、リポジトリが古い可能性があります。
オフトピック
Debianは、6.0以降、LTSが実際に彼らに意味することについて これを述べた を持っています.
また、LTSは、安定リリースのセキュリティパッチを処理するDebianセキュリティチームではなく、「 ボランティアと企業の別のグループ 」によって行われます。また、彼らはパッケージを選んで選択しているようです、「 適切にサポートされるパッケージの量は、私たちが受けるサポートのレベルに直接依存します "
私が理解しているように、Wheezyにとって、これはJessieが2016年4月25日にリリースされて以来2016年4月25日までタイムリーなセキュリティアップデートとパッチを実際に期待できることを意味します-特に、Stretchが2017年6月17日にリリースされて以来。
しかし、いつでもそれらに連絡することができます LTSについてここに助けを求めてください 。
Squeezeを実行しているサーバーで同じ問題が発生しました。必要なルート証明書を/usr/share/ca-certificates/cacert.org/cacert.org.crt
ファイルに手動で追加して修正しました。
su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh
補足: その公式の場所 が執筆時点でDNSの問題を引き起こしているため、これは別の場所からダウンロードされていません。
それでも解決しない場合は、/etc/ca-certificates.conf
ファイルの内容を確認してください。このファイルを参照するエントリcacert.org/cacert.org.crt
(上部のどこか)が含まれている必要があります。