OpenSSL 1.0.2u проблема Let's Encrypt

baas
На сайте с 17.09.2012
Offline
164
1120

Добрый вечер.
Прочитал новость про то что на старом софте появятся проблемы открытия сайтов с использованием сертификата Let's Encrypt.

Есть несколько серверов со старым софтом FreeBSD 11.4-RELEASE-p13 , в нем используется OpenSSL 1.0.2u-freebsd 20 Dec 2019, вэб сервер apache 24.

Пользователям старых дистрибутивов, завязанных на OpenSSL 1.0.2, предлагается три обходных варианта решения проблемы:


1. Вручную удались корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1.

2. При запуске команд openssl verify и s_client можно указать опцию "--trusted_first".

3. Использовать на сервере сертификат, заверенный обособленным корневым сертификатом SRG Root X1, не имеющим кросс-подписи. Указанный способ приведёт к потере совместимости со старыми Android-клиентами.


Как эти пункты выполнить?

Не понимаю.

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
rustelekom
На сайте с 20.04.2005
Offline
532
#1
А не проще просто обновить саму OpenSSL?
Виртуальный хостинг, виртуальные и выделенные серверы в Германии и РФ, регистрация доменов, выдача SSL сертификатов https://www.robovps.biz/
pegs
На сайте с 07.06.2007
Offline
658
#2
baas, Вы используете OpenSSL на сервере в качестве клиента?
«Палата номер 6» ищет своего Главврача: https://www.palata6.ru/
baas
На сайте с 17.09.2012
Offline
164
#3
pegs #:
baas, Вы используете OpenSSL на сервере в качестве клиента?

Нет.
Чисто для сайтов сделан серфтикат.

pegs
На сайте с 07.06.2007
Offline
658
#4
baas #:
Нет.
Как я понимаю, изменения корневых сертификатов LE коснется клиентов устаревших браузеров или другого клиентского ПО. Если не используете сервер в качестве клиента, то эти изменения не коснутся Вас напрямую.
baas
На сайте с 17.09.2012
Offline
164
#5
pegs #:
Как я понимаю, изменения корневых сертификатов LE коснется клиентов устаревших браузеров или другого клиентского ПО. Если не используете сервер в качестве клиента, то эти изменения не коснутся Вас напрямую.

Ясно, спасибо за информацию.

S
На сайте с 28.06.2012
Offline
90
#6
pegs #:
Как я понимаю, изменения корневых сертификатов LE коснется клиентов устаревших браузеров или другого клиентского ПО. Если не используете сервер в качестве клиента, то эти изменения не коснутся Вас напрямую.

Здравствуйте? А вот меня коснулась проблема, т.к. сайт открывает другой сайт в себе (как анонимайзер). И вот теперь не открывает, пустая страница, в логах никаких ошибок нету. Хотел обновить OpenSSL, сервер пишет, что установлена последняя версия. Так что на самом деле нужно обновить? Причем если сменить версию PHP с 8.0 на 5.4 то открывает как и раньше, но мне не подходит такой легкий выход.

pegs
На сайте с 07.06.2007
Offline
658
#7
startsoft #:
т.к. сайт открывает другой сайт в себе (как анонимайзер)

Все правильно, он выступает как клиент. И ему нужны валидные доверенные CA сертификаты.

Обновите доверенные CA сертификаты на сервере. В конфигах php задается путь к файлу доверенных CA сертификатов -  openssl.cafile.

[openssl]
; The location of a Certificate Authority (CA) file on the local filesystem
; to use when verifying the identity of SSL/TLS peers. Most users should
; not specify a value for this directive as PHP will attempt to use the
; OS-managed cert stores in its absence. If specified, this value may still
; be overridden on a per-stream basis via the "cafile" SSL stream context
; option.
openssl.cafile=/etc/ssl/cert.pem

S
На сайте с 28.06.2012
Offline
90
#8

Уже решил проблему.

yum -y update ca-certificates
LEOnidUKG
На сайте с 25.11.2006
Offline
1745
#9
startsoft #:

Уже решил проблему.

А вы обновление системы:

yum update

Из принципа не запускаете на сервере? 🤔

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
S
На сайте с 28.06.2012
Offline
90
#10
LEOnidUKG #:
Из принципа не запускаете на сервере?

Вот за это спасибо, нет, не из принципа, я забыл настроить крон на этом сервере... Понял, что проблему создал сам)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий