Cum pot spune dacă wget poate suporta noul certificat ISRG Root X1 al LetsEncrypt după expirarea DST Root CA X3

Acum câteva săptămâni (sept 2021), LetsEncrypt au schimbat modul în care au fost semnate certificatele, care poate afecta unele programe și clienți mai vechi. Am un server web Apache standard (stock v2.4.41 din ubuntu 20.04 apt) cu mai multe certificate Letsencrypt.

Unii oameni raportează că primesc certificate ssl nevalide de la mine atunci când folosesc instrumente standard Unix precum wget. Cred că problema este că wget-ul lor nu poate suporta aceste noi certificate LE.

Cum pot eu (și utilizatorii) să aflu dacă problema este cu adevărat la ei? Există unele wget comandă pe care utilizatorii mei o pot rula și care îmi va spune dacă versiunea lor de wget nu acceptă aceste noi certificate? Ce comandă le pot da să ruleze, astfel încât ei (și eu) să detecteze dacă problema este cu ei, nu cu mine?

Verificați-vă certificatele ca înainte, cu testere TLS alese de dvs. sau doar cu un browser.

Cereți utilizatorilor să-și actualizeze software-ul client.

The durata de viață prelungită DST Root CA X3 cruce semn a fost în primul rând să prelungească durata de viață a vechilor dispozitive Android. Desigur, nimic în ceea ce privește implementarea TLS nu este simplu. Lovitura asta o eroare în vechiul OpenSSL 1.0.2 în care acest lucru nu a fost validat așa cum ar trebui.

Această problemă cu wget necesită:

• Compilat --with-ssl=openssl care nu este implicit în amonte
• Sfârșitul vieții vechi OpenSSL 1.0.2, care în mod normal nu ar trebui utilizat, dar unele distribuții de suport pe termen lung îl mențin.

De exemplu, RHEL 7 ar trebui să fie afectat. EL7 a rezolvat-o prin actualizarea certificatelor ca pentru a nu mai conține rădăcina expirată.

Celălalt lucru de încercat este partea serverului, prin reînnoirea cu lanțul alternativ Let's Encrypt. Aruncarea rădăcinii DST nu mai încurcă vechiul OpenSSL, dar vechiul Android nu va funcționa.