OpenSSL ne récupère pas les CA dans le dossier certs

Il existe plusieurs bibliothèques cryptographiques sur votre système:

• OpenSSL (le standard de référence, avec une licence de type BSD (très libre) qui inclut une clause quelque peu problématique (empêcher la compatibilité GPL, mais rien de "mauvais"), limitant son adoption dans le monde GNU)
• GnuTLS (le remplacement de la FSF; existe en deux versions, sous licence LGPLv2 (mais non entretenue) et sous licence LGPLv3 (et donc incompatible avec les programmes uniquement GPLv2); aussi, ce qui améliore la sécurité)
• NSS (la bibliothèque de Netscape/Mozilla, rarement utilisée à l'extérieur; tarder à adopter de nouvelles normes)
• les plus mineurs comme PolarSSL, MatrixSSL, NaCl/Salt

Tous ont, bien sûr, des similitudes et des différences. Les logiciels qui les utilisent (à des fins cryptographiques ou pour utiliser SSL/TLS) prennent parfois en charge l’utilisation de plusieurs de ces bibliothèques (par exemple, Lynx, le navigateur Web, est normalement lié à OpenSSL mais prend également en charge GnuTLS (mais pas aussi bien)). apaiser les GNU personnes).

cURL est également l’un des projets prenant en charge l’utilisation de l’une des trois principales bibliothèques de chiffrement. Cela est principalement dû au fait que cURL est, à l’origine, une bibliothèque destinée à être utilisée par d’autres programmes qui souhaitent télécharger (ou même télécharger) des éléments à l’aide de connexions http, ftp, etc. L'outil de ligne de commande curl peut provenir de l'une ou l'autre de ces variantes.

Maintenant, je suis à peu près sûr que le problème que vous rencontrez avec le système non-fraîchement installé est le suivant:

OpenSSL et GnuTLS prennent tous deux en charge l’utilisation de répertoires d’autorité de certification de style /etc/ssl/certs/<hash>.<number>-. OpenSSL version 0.x et GnuTLS utilisent toutefois un algorithme différent pour calculer le hachage susmentionné de celui utilisé par OpenSSL version 1.x. (Les deux peuvent co-exister sur un système; si différents certificats ont le même dièse , vous utilisez simplement un nombre différent mais, pour une raison quelconque, le paquet ca-certificates de Debian/Ubuntu ne semble pas le faire.) De plus, certaines versions de GnuTLS ne prenaient pas en charge l’utilisation du répertoire, mais uniquement file /etc/ssl/certs/ca-certificates.crt (généralement géré par les scripts de maintenance du package ca-certificates, mais peut différer); vous semblez utiliser une version plus ancienne, alors c'est peut-être ce que vous avez frappé.

openssl s_client par défaut (c'est-à-dire sans l'option -CApath ou -CAfile) ne recherche pas nulle part les certificats.

Votre curl de l'installation mise à niveau utilise probablement une bibliothèque de chiffrement différente de celle de curl de la nouvelle installation.

Essayez openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -connect the-problem-site.com:443 en plus de openssl s_client -CApath /etc/ssl/certs -connect the-problem-site.com:443 pour imiter le comportement d'anciennes versions de GnuTLS.

Vérifiez deux fois s'il y a un OpenSSL 1.x n'importe où sur votre système (Ubuntu est connu pour avoir inséré des mises à jour majeures même dans les versions LTS), et si oui, vérifiez le hash du fichier:

openssl x509 -noout -hash -in /etc/ssl/certs/GeoTrust_Global_CA.pem
openssl x509 -noout -subject_hash_old -in /etc/ssl/certs/GeoTrust_Global_CA.pem
openssl x509 -noout -subject_hash -in /etc/ssl/certs/GeoTrust_Global_CA.pem

Normalement, les deuxième et troisième commandes doivent échouer (OpenSSL 0.x) ou les première et troisième commandes doivent afficher le même hachage, mais la deuxième doit afficher un hachage différent (OpenSSL 1.x). GnuTLS utiliserait le résultat de la deuxième commande (si OpenSSL 1.x est installé); Si OpenSSL 0.x est installé, c'est le même hachage. Vous pouvez créer de tels liens symboliques manuellement.

Je peux mettre à jour cette publication une fois que vous avez fourni des informations de débogage.