web-dev-qa-db-ja.com

Debian Wheezyの古いルート証明書

Debian 7を実行しているサーバーがSSLを使用して一部のWebサイトに接続できないという奇妙な問題に遭遇しました。デバッグ後、これらのサイトのルート証明書は不明であり、したがって信頼されていないことがわかります。私がデバッグしていたのは、DigiCert "DigiCert Global Root G2"でした。

もちろん、システムをアップデートしてSudo update-ca-certificates、しかしそれは問題を解決しませんでした。ただし、Debianのgitリポジトリを見ると、 ca-certificates is up-to-date のように見えます。実際、私が探していたものは あります です。

何か不足していますか?最新の状態に保つために何か特別なことをする必要がありますか?または、gitのバージョンがまだリリースされていないだけですか?その場合、どうすれば最新の状態にするにはどうすればよいですか?ルート証明書を手動で追加したくない。

更新

Sudo apt-cache policy ca-certificates
ca-certificates:
  Installed: 20130119+deb7u1
  Candidate: 20130119+deb7u2
  Version table:
     20130119+deb7u2 0
        500 http://security.debian.org/ wheezy/updates/main AMD64 Packages
 *** 20130119+deb7u1 0
        500 http://ftp.nl.debian.org/debian/ wheezy/main AMD64 Packages
        100 /var/lib/dpkg/status

何が起こったのか正確にはわかりませんが、ソースリストを変更した後にのみ、これを取得しています。 security.debian.orgからのものであることを考えると、以前はリポジトリが機能していなかったのではないかと心配しています。

4
aross

/etc/ssl/certsの証明書リンクを試して更新することができます

update-ca-certificates --fresh

/etc/ssl/certsのすべてのシンボリックリンクをやり直します。それでも解決しない場合は、パッケージが最新かどうかを確認してください

securityリポジトリが/etc/apt/sources.listに次のようになっていることを確認します(contribnon-freeを追加します願い)

deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main

またはあなたの場合

deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main

してみてください

apt-get update && apt-get upgrade -y

それを確認する

apt-cache policy ca-certificates

そして、installedcandidateを比較しますが、 this は最新バージョンです。

最新バージョンが表示されない場合は、リポジトリが古い可能性があります。


オフトピック

Debianは、6.0以降、LTSが実際に彼らに意味することについて これを述べた を持っています.

また、LTSは、安定リリースのセキュリティパッチを処理するDebianセキュリティチームではなく、「 ボランティアと企業の別のグループ 」によって行われます。また、彼らはパッケージを選んで選択しているようです、「 適切にサポートされるパッケージの量は、私たちが受けるサポートのレベルに直接依存します "

私が理解しているように、Wheezyにとって、これはJessieが2016年4月25日にリリースされて以来2016年4月25日までタイムリーなセキュリティアップデートとパッチを実際に期待できることを意味します-特に、Stretchが2017年6月17日にリリースされて以来。

しかし、いつでもそれらに連絡することができます LTSについてここに助けを求めてください

2
Robert Riedl

Squeezeを実行しているサーバーで同じ問題が発生しました。必要なルート証明書を/usr/share/ca-certificates/cacert.org/cacert.org.crtファイルに手動で追加して修正しました。

su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh

補足: その公式の場所 が執筆時点でDNSの問題を引き起こしているため、これは別の場所からダウンロードされていません。

それでも解決しない場合は、/etc/ca-certificates.confファイルの内容を確認してください。このファイルを参照するエントリcacert.org/cacert.org.crt(上部のどこか)が含まれている必要があります。

2
Bramus