Задать вопрос
@smart85

CentOS 6.10 и протухший недавно DST Root CA X3 — пляски с бубном, а есть ли варианты?

Коллеги, приветствую!
Так исторически сложилось, что трудится несколько тачек под CentOS 6.10 + php + php-fpm
Обновить всю беду возможности пока нет, и не факт, что будет.
С 30 сентября ловлю проблемы с SSL - error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Все из-за протухшего DST Root CA X3
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3

Собрал руками OpenSSL 1.0.2k 26 Jan 2017, удалил i:/O=Digital Signature Trust Co./CN=DST Root CA X3 и собственно в контексте openssl хендшейк удался, но это только для openssl. А мне нужно едрить это из пыхи, а пыха, что не удивительно - видит старый openssl:
php -i | grep OpenSSL
OpenSSL support => enabled
OpenSSL Library Version => OpenSSL 1.0.1e-fips 11 Feb 2013
OpenSSL Header Version => OpenSSL 1.0.1e-fips 11 Feb 2013
Native OpenSSL support => enabled

Отсюда вопрос, а как бы и пыхе подкинуть новый openssl ?

Спасибо за внимание к моему вопросу.
  • Вопрос задан
  • 329 просмотров
Подписаться 2 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
@qid00000000
Мало что знаю, но информацию найду в гугле
Я удалил этот серт из файлов
/usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit 
/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem


А потом раскатил на остальные сервера и проблемы нет

Есть ещё питоновские / php либы, которые его используют, там тоже нужно выпилить/обновить.

Ну и у wordpress, как оказалось, есть корневые сертификаты.

Про подкинуть новый openssl - чтобы выстрел в ногу был безболезненным - лучше обновить. А так, можно попробовать либы позаменять, но там ещё больше шансов что-то сломать из-за обратной совместимости.
Ответ написан
SagePtr
@SagePtr
Еда - это святое
В пыхе можно через php.ini задать путь к ca bundle для функций openssl и curl.
Нужный ca bundle взять с сайта curl.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы