web-dev-qa-db-fra.com

Pourquoi wget ne vérifie pas les certificats SSL?

J'ai un problème avec mon installation de Fedora 8 . Il semble que wget ne sache plus comment vérifier les certificats SSL. C'est étrange car j'ai une autre boîte Fedora 8 qui je crois a la même configuration et ça marche!

Comment puis-je le faire fonctionner sans utiliser --no-check-certificate passer?

Ceci est un exemple de sortie:

wget https://www.google.com
--2011-09-23 00:11:13--  https://www.google.com/
Resolving www.google.com... 74.125.230.146, 74.125.230.147, 74.125.230.148, ...
Connecting to www.google.com|74.125.230.146|:443... connected.
ERROR: cannot verify www.google.com's certificate, issued by `/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA':
  Unable to locally verify the issuer's authority.
To connect to www.google.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

MODIFIER

J'ai ce fichier /etc/pki/tls/certs/ca-bundle.crt fichier et quand je lance wget avec --ca-certificate commutateur pointant vers ce fichier tout va bien. Où ce fichier doit-il être placé afin que je n'aie pas besoin d'utiliser le commutateur?

BTW: curl et links fonctionnent bien, mais lynx se plaint également: "Erreur SSL: impossible d'obtenir le certificat d'émetteur local" donc ce n'est pas seulement le problème de wget ...

linuxsslwgetfedora
19
tomazy

Par défaut, wget vérifiera les certificats dans le chemin défini dans le fichier de configuration openssl /etc/pki/tls/openssl.cnf (pas sûr que le chemin soit correct pour fc8). Veuillez vérifier le fichier de configuration openssl et confirmer que les chemins sont corrects. Peut-être que c'est openssl, qui doit être corrigé.

11
SparX

Votre système ne fait pas confiance à la chaîne de signature du certificat Google.

Ils ne présentent pas non plus la chaîne de certificats complète, juste le certificat de leur émetteur; pas 100% à la hauteur, mais certainement rien qui ne devrait vous empêcher de valider la chaîne.

Votre ancien système est susceptible d'avoir un ensemble tout aussi ancien d'autorités de certification racine de confiance.

Faites confiance au bon certificat VeriSign ( ici ), et vous devriez être bon.

5
Shane Madden

Vous devez rassembler une liste des certificats racine auxquels vous souhaitez faire confiance et indiquer à wget comment les trouver à l'aide du --ca-certificate ou --ca-directory option. Vous en avez peut-être déjà un dans /etc/pki/tls/certs si vous avez installé le package approprié.

4
David Schwartz

J'ai eu des problèmes avec wget pour ne pas trouver mes certificats alors j'ai installé des certificats ca

Sudo apt install ca-certificates

puis j'ai édité:

Sudo vi /etc/wgetrc

et ajouté

ca_directory=/etc/ssl/certs

ou vous pouvez simplement utiliser cette commande pour l'ajouter à la fin:

printf "\nca_directory=/etc/ssl/certs" | Sudo tee -a /etc/wgetrc
4
Jared