Certificate

Debian Wheezy 過時的根證書

  • May 24, 2018

我遇到了一個奇怪的問題,執行 Debian 7 的伺服器無法使用 SSL 連接到某些網站。調試後發現這些站點的根證書是未知的,因此不受信任。我正在調試的案例來自 DigiCert “ DigiCert Global Root G2 ”。

當然我嘗試更新系統並執行sudo update-ca-certificates,但並沒有解決問題。但是,查看 Debian 的 git 儲存庫,看起來ca-certificates 是最新的。事實上,我要找的那個就在那裡

我錯過了什麼嗎?我需要做一些特別的事情來保持最新嗎?還是 git 中的版本還沒有發布?在這種情況下,無論如何,我該怎麼做才能更新?我寧願不手動添加根證書。

更新

sudo apt-cache policy ca-certificates
ca-certificates:
 Installed: 20130119+deb7u1
 Candidate: 20130119+deb7u2
 Version table:
    20130119+deb7u2 0
       500 http://security.debian.org/ wheezy/updates/main amd64 Packages
*** 20130119+deb7u1 0
       500 http://ftp.nl.debian.org/debian/ wheezy/main amd64 Packages
       100 /var/lib/dpkg/status

我不確定發生了什麼,但我只是在更改源列表後才得到這個。看到它來自security.debian.org,我擔心回購之前沒有工作。

/etc/ssl/certs您可以嘗試刷新您的證書連結

update-ca-certificates --fresh

重做所有的符號連結/etc/ssl/certs。如果這沒有幫助,讓我們看看你的包是否是最新的

確保您的安全儲存庫/etc/apt/sources.list看起來像這樣(contrib根據需要添加non-free

deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main

或者在你的情況下

deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main

然後嘗試

apt-get update && apt-get upgrade -y

通過驗證

apt-cache policy ca-certificates

並與候選人比較安裝,而是最新版本。

如果您沒有看到最新版本,則您的儲存庫可能已過時。


題外話

自 6.0 以來, Debian 已經說明了 LTS 對他們的實際意義。

此外,LTS 不是由處理穩定版本安全更新檔的 Debian 安全團隊完成的,而是由“一組獨立的志願者和感興趣的公司”完成的。此外,他們似乎在挑選包,引用“正確支持的包數量直接取決於我們獲得的支持級別

據我了解,對於 Wheezy 來說,這意味著自從 Jessie 於 2016 年 4 月 25 日發布以來,您實際上可以期待及時的安全更新和更新檔,直到 2016 年 4 月 25 日——尤其是自 Stretch 於 2017 年 6 月 17 日發布以來。

但是您可以隨時聯繫他們並在此處尋求 LTS 的幫助

引用自:https://serverfault.com/questions/891734