В Сизифе * Пн июн 29 2020 Alexey Gladkov <legion@altlinux.ru> 2020.06.29-alt1 - mozilla: sync with nss-3.54. то есть там удалены вредные и просроченные сертификаты, о которых, в частности, пишут тут: https://www.opennet.ru/opennews/art.shtml?num=53061 nss changelog: 2020-06-29 Alexey Gladkov 3.54.0-alt1 - New version (3.54). - Merge libnss and libnss-sysinit. - Certificate Authority Changes: + Add CN = certSIGN Root CA G2 + Add CN = e-Szigno Root CA 2017 + Add CN = Microsoft ECC Root Certificate Authority 2017 + Add CN = Microsoft RSA Root Certificate Authority 2017 + Remove CN = AddTrust Class 1 CA Root + Remove CN = AddTrust External CA Root + Remove CN = LuxTrust Global Root 2 + Remove CN = Staat der Nederlanden Root CA - G2 + Remove CN = Symantec Class 2 Public Primary Certification Authority - G4 + Remove CN = Symantec Class 1 Public Primary Certification Authority - G4 + Remove CN = VeriSign Class 3 Public Primary Certification Authority - G3 Нужно обновить ca-certificates в p9.
258899 BUILDING #2 [locked] p9 ca-certificates.git=2020.06.29-alt1
Но как ни странно, с новой версией всё равно curl и wget не могут открыть сайт cryptopro: $ curl https://cryptopro.ru curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above. $ wget https://cryptopro.ru --2020-09-29 22:14:15-- https://cryptopro.ru/ Распознаётся cryptopro.ru (cryptopro.ru)… 178.238.112.83 Подключение к cryptopro.ru (cryptopro.ru)|178.238.112.83|:443... соединение установлено. ОШИБКА: невозможно проверить сертификат cryptopro.ru, выпущенный «CN=\\D0\\9E\\D0\\9E\\D0\\9E \\"\\D0\\9A\\D0\\A0\\D0\\98\\D0\\9F\\D0\\A2\\D0\\9E-\\D0\\9F\\D0\\A0\\D0\\9E\\",O=\\D0\\9E\\D0\\9E\\D0\\9E \\"\\D0\\9A\\D0\\A0\\D0\\98\\D0\\9F\\D0\\A2\\D0\\9E-\\D0\\9F\\D0\\A0\\D0\\9E\\",street=\\D1\\83\\D0\\BB. \\D0\\98\\D0\\B1\\D1\\80\\D0\\B0\\D0\\B3\\D0\\B8\\D0\\BC\\D0\\BE\\D0\\B2\\D0\\B0\\, \\D0\\B4. 31\\, \\D0\\BE\\D1\\84\\D0\\B8\\D1\\81 30\\D0\\91,L=\\D0\\B3. \\D0\\9C\\D0\\BE\\D1\\81\\D0\\BA\\D0\\B2\\D0\\B0,ST=77 \\D0\\9C\\D0\\BE\\D1\\81\\D0\\BA\\D0\\B2\\D0\\B0,C=RU,INN=007717107991,OGRN=1037700085444,emailAddress=qca@cryptopro.ru»: Невозможно локально проверить подлинность запрашивающего. Для небезопасного подключения к cryptopro.ru используйте параметр «--no-check-certificate». Хотя curl должен в отсутствие AddTrust External CA Root этот сайт открывать, а wget вообще использует openssl 1.1, в котором всё в порядке должно быть.
(Ответ для Vitaly Lipatov на комментарий #2) > Но как ни странно, с новой версией всё равно curl и wget не могут открыть > сайт cryptopro: > > $ curl https://cryptopro.ru > curl: (60) SSL certificate problem: unable to get local issuer certificate > More details here: https://curl.haxx.se/docs/sslcerts.html Очевидно, по той же причине, почему отрубился https для fsb.ru и kremlin.ru.
Версия пакета на данный момент: $ rpm -q ca-certificates ca-certificates-2021.10.06-alt1.noarch Ошибка с подключением к cryptopro.ru не воспроизводится: $ curl -s https://cryptopro.ru | head | grep title <title>КриптоПро | Ключевое слово в защите информации</title> <link rel="alternate" type="application/rss+xml" title="Новости КриптоПро" href="/news/rss" /> $ wget https://cryptopro.ru --2023-03-31 13:51:47-- https://cryptopro.ru/ Распознаётся cryptopro.ru (cryptopro.ru)… 193.37.157.43 Подключение к cryptopro.ru (cryptopro.ru)|193.37.157.43|:443... соединение установлено. HTTP-запрос отправлен. Ожидание ответа… 200 OK Длина: нет данных [text/html] Сохранение в: «index.html» index.html [ <=> ] 51,72K --.-KB/s за 0,004s 2023-03-31 13:51:48 (13,1 MB/s) - «index.html» сохранён [52960] Баг закрываю.
