1 votes

CSNewman avatar

Le certificat lftp n'est soudainement plus fiable

Demandé el 29 de Septembre, 2021
Quand la question a-t-elle été
986 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Depuis une semaine, lftp ne valide pas l'un des certificats racine de mon système.

Certificate: CN=www.planete-sciences.org    
 Issued by:        C=US,O=Let's Encrypt,CN=R3
 Checking against: C=US,O=Let's Encrypt,CN=R3
  Trusted
Certificate: C=US,O=Let's Encrypt,CN=R3
 Issued by:        C=US,O=Internet Security Research Group,CN=ISRG Root X1
 Checking against: C=US,O=Internet Security Research Group,CN=ISRG Root X1
  Trusted
Certificate: C=US,O=Internet Security Research Group,CN=ISRG Root X1
 Issued by: O=Digital Signature Trust Co.,CN=DST Root CA X3
ERROR: Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
**** Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)
---- Fermeture du socket de contrôle
ls: Erreur fatale: Certificate verification: Not trusted (93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF)

Filezilla et Firefox font tous deux confiance à ces certificats.

Quel peut être le problème et comment puis-je le résoudre ?

Demandé el 29 de Septembre, 2021 par CSNewman

Réponses

Trop de publicités?

1voto

Anonta avatar
Anonta Points 161

"DST Root CA X3" expiré y lftp a mis en œuvre sa propre vérification de la chaîne brisée .

Si vous êtes l'administrateur du serveur, vous pouvez passer à la chaîne alternative (avec une chaîne auto-signée). ISRG Root X1 ), ce qui devrait résoudre le problème avec lftp - mais casse les anciens clients Android .

Répondu el 1 de Octobre, 2021 par Anonta (161 Points )

1voto

Paolo Cozzi avatar
Paolo Cozzi Points 11

J'ai exactement le même problème. Je pense qu'il pourrait s'agir d'un problème temporaire de mise à jour des certificats/chaînes, mais je ne trouve aucune preuve : un de mes collègues peut se connecter à la même instance ftps sans aucune erreur. En guise de solution de contournement, vous pouvez ajouter manuellement le certificat manquant. La commande suivante :

    openssl s_client -connect www.planete-sciences.org:21 -starttls ftp -showcerts

devrait permettre de récupérer la chaîne de certificats complète de votre serveur ftp. Copiez la chaîne de certificats L'ISRG Root X1 certificat (le dernier bloc joint par --BEGIN CERTIFICATE----END CERTIFICATE-- (y compris les balises) et le coller dans un nouveau fichier, par exemple .lftp/mycert.crt . Ajoutez ensuite le chemin complet de votre fichier de certificat personnalisé dans le champ .lftp/rc par exemple :

    set ssl:ca-file "/home/paolo/.lftp/mycert.crt"

Cela résoudra le problème. Vous pouvez trouver d'autres solutions comme ceci qui suggère de désactiver ssl dans votre fichier conf (non recommandé) ou d'ajouter le certificat à l'ensemble du système (cependant, je préfère ajouter une solution de contournement locale). Mise à jour des certificats comme décrit aquí ne me semble pas fonctionner (peut-être s'agit-il d'un problème temporaire ?). Si vous voulez désactiver ssl, il y a aussi la possibilité de le faire pour un domaine particulier, voir aquí .

J'espère que cela vous aidera

Répondu el 1 de Octobre, 2021 par Paolo Cozzi (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X