ssl на яндекс - «Verify return code: 20 (unable to get local issuer certificate)»

0

1

Сохраню здесь, чтобы всегда доступно было.

На 6 центосе при некоторых ssl операциях с узлами яндекса соединение не проходит. В простейшем случае получаем что-то вроде:

$ true | openssl s_client -connect yandex.ru:443
depth=2 C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
verify error:num=20:unable to get local issuer certificate
verify return:0

...

    0090 - 2f c1 95 5c 7b 8c 70 32-66 1a 22 44 d6 da a2 b4   /..\{.p2f."D....

    Start Time: 1564753723
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
DONE
$ _

Результат копаний - нужно добавить сертификат Certum'а в системный бандл. Команды (от рута, естественно):

( cd /etc/ssl/certs && zip -r9 ~/saved-ca-bundles-$RANDOM *.crt )
cd /tmp
wget -O certum-ca.pem https://www.certum.pl/CA.pem --no-check-certificate
openssl x509 -in certum-ca.pem -text -noout > certum-ca.txt
cat certum-ca.txt certum-ca.pem | tee -a /etc/ssl/certs/ca-bundle{,.trust}.crt

Как-то так.

Ссылка

←	Разрешить проходящий трафик одним правилом?

Не работают прокси iPv6 - 3proxy

→

Наделали себе проблем и точек отказа с повсеместным внедрением HTTPS.

Героически их преодолеваем.

EXL ★★★★★
(02.08.19 17:38:35 MSK)

Ответ на: комментарий от EXL 02.08.19 17:38:35 MSK

Никаких проблем с https нет. Просто необходимо понимать азы корневых сертификатов - на всех компьютерах подключенных к сети Интернет на планете Земля корневые сертификаты для bttps ИДЕНТИЧНЫ, по определению https!

Корневые сертификаты необходимо сверить:

Почему корневые сертификаты спасают от MITM атаки? (комментарий)

Нельзя устанавливать корневые сертификаты с левых источников, вы этим позволит преступникам сделать MitM своего трафика!

anonymous
(04.08.19 14:18:34 MSK)