Problemy z połączeniem z niektórymi adresami URL HTTPS

0

Mam problem z połączeniem się z niektórymi stronami internetowymi za pomocą https. wget i curl narzekają na niemożność zweryfikowania certyfikatu. Przypuszczam, że jest to spowodowane brakującymi certyfikatami root na moim serwerze NAS. Na przykład:

ReadyNAS:~# wget https://pypi.python.org/
--2016-04-12 20:08:51--  https://pypi.python.org/
Resolving pypi.python.org... 23.235.43.223
Connecting to pypi.python.org|23.235.43.223|:443... connected.
ERROR: cannot verify pypi.python.org's certificate, issued by `/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA':
  Unable to locally verify the issuer's authority.
ERROR: certificate common name `www.python.org' doesn't match requested host name `pypi.python.org'.
To connect to pypi.python.org insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

Ręcznie skompilowałem i zaktualizowałem zarówno curl, jak i wget do dość najnowszych wersji (GNU Wget 1.11.4; libcurl / 7.45.0 GnuTLS / 3.3.18 zlib / 1.2.3.3), ale bezskutecznie.

Historia : dystrybucja linuksa na moim serwerze NAS jest dość stara (Debian Sid, Linux 2.6.37.6). Wydaje się, że zwykłe polecenia aktualizacji sklepu SSL nie działają.

Jak znaleźć przyczynę problemów z połączeniem i je rozwiązać?

linux ssl Sebazzz
źródło

Odpowiedzi:

0

Istnieją dwa błędy:

ERROR: cannot verify pypi.python.org's certificate, issued by `/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA': Unable to locally verify the issuer's authority.

Oznacza to, że urząd certyfikacji DigiCert nie znajduje się w magazynie zaufania systemu operacyjnego. Powinieneś być w stanie dodać go, pobierając CA crt (tj. Z Firefoksa), a następnie dodając:

cp digicert.crt /usr/local/share/ca-certificates/digicert.crt

update-ca-certificates

(Naprawdę nie jestem pewien co do tych poleceń, ale powinienem też pracować na starym Debianie ...)

ERROR: certificate common name `www.python.org' doesn't match requested host name `pypi.python.org'.

Oznacza to, że certyfikat nie był wystawiany dla domeny pypi.python.org, ale po sprawdzeniu certyfikatu w firefox widzę, że pypi.python.org jest wymieniony w certyfikacie. Być może jest to fałszywy alarm spowodowany brakiem urzędu certyfikacji, spróbuj go naprawić wcześniej.

[nostalgiczny] Awww, dobre stare jądro 2.6: D [/ nostalgic]

Tsumi
źródło