web-dev-qa-db-ja.com

1つのクライアントが「証明書の有効期限が切れています」で失敗するが、他のクライアントは問題なく動作する

私は2台のマシンを持っています。 1つはFedora(30)を実行しており、もう1つはDebian(バスター)を実行しています。

Fedoraマシンで_curl https://www.ultimate-guitar.com/_を実行すると、期待どおりの応答が得られます。しかし、Debianマシンで同じコマンドを実行すると、curl: (60) SSL certificate problem: certificate has expiredが表示されます。

Debianで-vフラグを使用する場合:

_$ curl -v https://www.ultimate-guitar.com/
*   Trying 205.185.216.42...
* TCP_NODELAY set
* Connected to www.ultimate-guitar.com (205.185.216.42) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: certificate has expired
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.
_

そのDebianマシンには、vimとdocker btw以外に(手動で)パッケージがほとんどインストールされていません。

Opensslパッケージまたは更新が必要なものと考えていたので、_apt update_および_apt upgrade_を実行しましたが、問題は解決しませんでした...

Debianマシンから問題なく他のサイトにアクセスできます。例:_curl https://ultimate-guitar.com/_(_www._なし)は正常に機能します。

私が見つけたもう1つの興味深いことは、 このWebサイト を使用して証明書を確認するときの警告です:

enter image description here

どういう意味かわかりません。つまり、Fedoraマシンからの証明書の問題がないことを確認すると、それを理解することができません。

任意の助けをいただければ幸いです。

debiansslcertificates
2
Forivin

AddTrust証明書をコメントアウトすることで問題を回避することができました。

単に変えた

mozilla/AddTrust_External_Root.crt

!mozilla/AddTrust_External_Root.crt

/etc/ca-certificates.conf

そしてupdate-ca-certificatesを実行しました。

update-ca-certificatesが利用できない場合は、ca-certificatesパッケージをインストールする必要があります。

apt-get update && apt-get install ca-certificates
1
Forivin