কেন উইজেট এসএসএল শংসাপত্রগুলি যাচাই করে না?

19

আমার ফেডোরা 8 ইনস্টলেশনটি নিয়ে আমার সমস্যা আছে । দেখে মনে হচ্ছে যে wgetকীভাবে আর এসএসএল শংসাপত্রগুলি যাচাই করতে হয় তা জানে না। এটি আশ্চর্যজনক কারণ আমার কাছে আরও একটি ফেডোরা 8 বাক্স রয়েছে যা আমার বিশ্বাস একই কনফিগারেশন রয়েছে এবং এটি কার্যকর!

আমি কীভাবে এটি --no-check-certificateসুইচ ব্যবহার না করে কাজ করতে পারি ?

এটি একটি নমুনা আউটপুট:

wget https://www.google.com
--2011-09-23 00:11:13--  https://www.google.com/
Resolving www.google.com... 74.125.230.146, 74.125.230.147, 74.125.230.148, ...
Connecting to www.google.com|74.125.230.146|:443... connected.
ERROR: cannot verify www.google.com's certificate, issued by `/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA':
  Unable to locally verify the issuer's authority.
To connect to www.google.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

সম্পাদনা

আমি এই ফাইল আছে /etc/pki/tls/certs/ca-bundle.crtফাইল এবং যখন আমি রান wgetদিয়ে --ca-certificateএই ফাইলে সুইচ ইশারা সবকিছু ঠিক যায়। এই ফাইলটি কোথায় রাখা উচিত যাতে আমার স্যুইচটি ব্যবহারের প্রয়োজন না হয়?

বিটিডাব্লু: curlএবং ঠিকঠাক linksকাজ করুন, তবে lynxএটিও অভিযোগ করে: "এসএসএল ত্রুটি: স্থানীয় ইস্যুকারী শংসাপত্র পেতে অক্ষম" তাই এটি কেবল wgetসমস্যা নয় ...

— tomazy
সূত্র

4

কেন আপনি এমনকি না আছে একটি ফেডোরা 8 ইনস্টলেশন?

— Ignacio Vazquez-Abram

1

ফেডোরা 9, 10, 11, 12 এবং 13 এমনকি সমর্থিত নয়।

— ceejayoz

আমি সচেতন যে এটি একটি প্রাচীন ওএস আর সমর্থিত নয় তবে আমি আশা করি এটি হ'ল এক ধরণের কনফিগারেশন সমস্যা যা খুব সহজেই অভিজ্ঞ কেউ সমাধান করতে পারেন যাতে আমার পুরো সিস্টেমটি আপগ্রেড করার দরকার নেই।

— tomazy

আপনি ব্যবহার করছেন উইজেটের সংস্করণটি কী?

— স্পারএক্স

জিএনইউ

— উইজেট

11

ডিফল্টরূপে উইজেট ওপেনসেল কনফারেন্স ফাইল /etc/pki/tls/openssl.cnf সংজ্ঞায়িত পাথের শংসাপত্রগুলির জন্য পরীক্ষা করবে (এফসি 8 এর জন্য পথটি সঠিক কিনা তা নিশ্চিত নয়)। দয়া করে ওপেনসেল কনফিগারেশন ফাইলটি পরীক্ষা করুন এবং নিশ্চিত করুন যে পাথগুলি সঠিক। এটি ওপেনসেল হতে পারে, এটি সংশোধন করা দরকার।

— SparX
সূত্র

এটি ওপেনসেল-এ সমস্যা ছিল - cert.pem ফাইলটি / etc / pki / tls এ অনুপস্থিত ছিল। ধন্যবাদ

— tomazy

5

আপনার সিস্টেমটি গুগলের শংসাপত্রের জন্য স্বাক্ষর শৃঙ্খলে বিশ্বাস করে না।

তারা সম্পূর্ণ শংসাপত্র শৃঙ্খলা উপস্থাপন করছে না, কেবল তাদের জারিকারীর শংসাপত্র; সমতুল্য 100% নয়, তবে অবশ্যই এমন কিছু নয় যা আপনাকে চেইনকে বৈধতা দেওয়ার থেকে বিরত রাখবে।

আপনার প্রাচীন সিস্টেমে বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের সমানভাবে প্রাচীন সেট থাকতে পারে।

ডান ভেরি সিগন সার্ট ( এখানে ) বিশ্বাস করুন এবং আপনার ভাল হওয়া উচিত।

— শেন ম্যাডেন
সূত্র

আমি ঠিক কীভাবে ভেরি সিগন সার্ট "বিশ্বাস" করব?

— tomazy

সম্ভবত এটি করা প্রয়োজন /etc/ssl/certs।

— শেন ম্যাডেন

এই দির উপস্থিত ছিল না তবে আমি এটি তৈরি করেছি এবং সার্টিফিকেট ফাইলগুলি অনুলিপি করেছি - এটি কোনও লাভ হয়নি :(

— Tomazy

সেই OS এ শংসাপত্রের ডিরেক্টরি কোথায় রয়েছে তা নিশ্চিত নয়। grepকাছাকাছি!

— শেন ম্যাডেন

4

আপনি যে শংসাপত্রের উপর বিশ্বাস রাখতে চান তার একটি তালিকা সংগ্রহ করতে হবে এবং wgetকীভাবে বিকল্প --ca-certificateবা --ca-directoryবিকল্পটি ব্যবহার করে সেগুলি খুঁজে পাবে তা জানাতে হবে । আপনার যদি ইতিমধ্যে /etc/pki/tls/certsউপযুক্ত প্যাকেজ ইনস্টল থাকে তবে আপনার মধ্যে এটি ইতিমধ্যে থাকতে পারে ।

— ডেভিড শোয়ার্জ
সূত্র

3

আমার শংসাপত্রগুলি না পেয়ে উইজেটে আমার সমস্যা ছিল তাই আমি সিএ-শংসাপত্রগুলি ইনস্টল করেছি

sudo apt install ca-certificates

তারপরে আমি সম্পাদনা করেছি:

sudo vi /etc/wgetrc

এবং যোগ করেছেন

ca_directory=/etc/ssl/certs

অথবা আপনি কেবল এই আদেশটি শেষ পর্যন্ত যুক্ত করতে ব্যবহার করতে পারেন:

printf "\nca_directory=/etc/ssl/certs" | sudo tee -a /etc/wgetrc

— জ্যারেড
সূত্র

বিকল্পভাবে এটি যদি আমি ব্যবহার করি তবে এটি আমার পক্ষে কাজ করেছে wget https://myurl --ca-directory=/etc/ssl/certs/তবে আমি টাইপ করতে চাই না প্রতিবারই, কেউই তার জন্য সময় পায় না ;-)

— জেরেদ