@lehha

Cannot verify certificate в Centos?

С августа 2018 года любой обновленный сервер на Centos 6.10 или Centos 7 не может получить доступ к сайтам с некоторыми сертификатами, так как нет доверия к центру сертификации, выдавшему сертификат.

Например:
wget https://imap.yandex.ru:993
--2018-08-04 20:30:46--  https://imap.yandex.ru:993/
Resolving imap.yandex.ru... 87.250.251.124, 213.180.204.124, 93.158.134.124, ...
Connecting to imap.yandex.ru|87.250.251.124|:993... connected.
ERROR: cannot verify imap.yandex.ru’s certificate, issued by “/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA”:
  Unable to locally verify the issuer’s authority.
To connect to imap.yandex.ru insecurely, use ‘--no-check-certificate’.


Ноги растут из php c imap:
imap_open(): Couldn't open stream {imap.yandex.ru:993/imap/ssl}INBOX in file.php on line 31
PHP Notice:  Unknown: Certificate failure for imap.yandex.ru: unable to get local issuer certificate: /C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA (errflg=2)


Причем 99% остальных ресурсов работают корректно.

Системы обновлены, ca-certificates.noarch тоже:
Version     : 2018.2.22
Release     : 65.1.el6
Size        : 2.6 M
Repo        : installed


Эффект можно повторить на свежей виртуалке с Centos 6 или Centos 7 со всеми обновлениями.

ЧЯДНТ?
  • Вопрос задан
  • 1194 просмотра
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
Что непонятного-то? Даже издателя проследили уже, правильно вообще-то мысль шла. Посмотреть издателя сертификата, найти сертификат издателя и поместить в хранилище доверенных сертификатов. Такое бывает, и нередко - выпускается сертификат в УЦ, сертификат которого отсутствует в доверенных, несмотря на то, что это например Комодо. У Комодо множество subCA, и не все их сертификаты распространяются. Нужно вручную найти сертификат этого subCA/
Ответ написан
@Serrjio
CityCat4, lehha, такая же проблема с яндексом возникла :( Удалось ли решить проблему как-нибудь? Какого именно сертификата не хватает?
Ответ написан
@Dhanada
продажа спортивного оборудовния
Если кому интересно нашел способ обойти эту ситуацию. Вместо
imap.yandex.ru:993/imap/ssl
прописывать в imap_open()
imap.yandex.ru:993/imap/ssl/novalidate-cert
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
02 авг. 2021, в 14:13
200000 руб./за проект
02 авг. 2021, в 14:06
6000 руб./за проект