The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Lynx:  SSL error:The certificate is NOT trusted."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на рабочей станции (WEB, Браузеры / Linux)
Изначальное сообщение [ Отслеживать ]

"Lynx:  SSL error:The certificate is NOT trusted."  –1 +/
Сообщение от Isothiocyanate (ok), 03-Апр-19, 17:48 
Доброго времени суток!

Консольный браузер lynx в системе debian 9.8   x64  выдает ошибку:
SSL error:The certificate is NOT trusted. The certificate is...-Continue? (

Шукаємо lynx.invisible-island.net
Встановлюємо HTTP з'єднання до lynx.invisible-island.net
Надсилаємо запит HTTP.
HTTP запита надіслано; чекаємо на відповідь.
HTTP/1.1 301 Moved Permanently
Перекачування даних завершено.
HTTP/1.1 301 Moved Permanently
Використовуємо https://lynx.invisible-island.net/
Шукаємо lynx.invisible-island.net
Встановлюємо HTTPS з'єднання до lynx.invisible-island.net

lynx: Неможливо завантажити стартовий файл http://lynx.invisible-island.net/
user1@debian999:~$

Продолжить соединяться не может, но URL http://lynx.invisible-island.net/  в фаерфоксе открывавет.

Я пробил эту ситуацию по форумам и интернету, правил
/etc/lynx/lynx.cfg
раскомментировал и закоментировал строку SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt
делал sudo apt-get purge lynx / install lynx

Тем не менее, ошибку устранить так и не удалось. Буду благодарен за любую помощь.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от universite (ok), 03-Апр-19, 18:24 
>[оверквотинг удален]
> lynx: Неможливо завантажити стартовий файл http://lynx.invisible-island.net/
> user1@debian999:~$
> Продолжить соединяться не может, но URL http://lynx.invisible-island.net/  в фаерфоксе
> открывавет.
> Я пробил эту ситуацию по форумам и интернету, правил
> /etc/lynx/lynx.cfg
> раскомментировал и закоментировал строку SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt
> делал sudo apt-get purge lynx / install lynx
> Тем не менее, ошибку устранить так и не удалось. Буду благодарен за
> любую помощь.

Надо обновить серты.


apt-key update; apt-get update && apt-get -y install ca-certificates;

Ответить | Правка | Наверх | Cообщить модератору

2. "Lynx:  SSL error:The certificate is NOT trusted."  –1 +/
Сообщение от Isothiocyanate (ok), 03-Апр-19, 19:17 
> Надо обновить серты.
>
 
> apt-key update; apt-get update && apt-get -y install ca-certificates;
>

Сначала отказывало в доступе, обновил от root. Пишет, что:
ca-certificates is already the newest version (20161130+nmu1+deb9u1).
оновлено 0, встановлено 0 нових, 0 відмічено для видалення і 9 не оновлено.

Lynx выдает все ту же ошибку.


Ответить | Правка | Наверх | Cообщить модератору

3. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от universite (ok), 03-Апр-19, 20:24 
>> Надо обновить серты.
>>
 
>> apt-key update; apt-get update && apt-get -y install ca-certificates;
>>

> Сначала отказывало в доступе, обновил от root. Пишет, что:
> ca-certificates is already the newest version (20161130+nmu1+deb9u1).
> оновлено 0, встановлено 0 нових, 0 відмічено для видалення і 9 не
> оновлено.
> Lynx выдает все ту же ошибку.

Пробуйте вместо lynx - curl, затем сверьте версию openssl.

Ответить | Правка | Наверх | Cообщить модератору

4. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от erera22 (ok), 16-Апр-19, 13:27 
Ну думаю, что linx и curl будут использовать разные сертификаты, потому curl тоже даст ошибку.

В теории, надо:
> sudo update-ca-certificates

Если не помогло, надо проверить как curl ищет сертификат:
> curl -vv -I https://lynx.invisible-island.net/ 2>&1 | grep -i cafile

Полагаю, что вывод будет:
> *   CAfile: /etc/ssl/certs/ca-certificates.crt

Дальше уже плясать от этого.

Но, если разбираться лень, то можно пойти напрямую:
1. wget https://curl.haxx.se/ca/cacert-2019-01-23.pem -O /tmp/ca-certs.pem
2. sudo mv -f /tmp/ca-certs.pem /etc/ssl/certs/ca-certificates.crt

Ответить | Правка | Наверх | Cообщить модератору

8. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от Isothiocyanate (ok), 22-Апр-19, 08:44 
> Но, если разбираться лень, то можно пойти напрямую:
> 1. wget https://curl.haxx.se/ca/cacert-2019-01-23.pem -O /tmp/ca-certs.pem
> 2. sudo mv -f /tmp/ca-certs.pem /etc/ssl/certs/ca-certificates.crt

Выкачал сертификаты и поместил их в указанную директорию с сертификатами как описано выше. Все заработало. Всем спасибо!

Самый лучший метод - часто самый простой метод. :))))))

Ответить | Правка | Наверх | Cообщить модератору

5. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от lavremail (ok), 16-Апр-19, 16:14 
>[оверквотинг удален]
> lynx: Неможливо завантажити стартовий файл http://lynx.invisible-island.net/
> user1@debian999:~$
> Продолжить соединяться не может, но URL http://lynx.invisible-island.net/  в фаерфоксе
> открывавет.
> Я пробил эту ситуацию по форумам и интернету, правил
> /etc/lynx/lynx.cfg
> раскомментировал и закоментировал строку SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt
> делал sudo apt-get purge lynx / install lynx
> Тем не менее, ошибку устранить так и не удалось. Буду благодарен за
> любую помощь.

Вместо форумов, лучше читать документацию:

# ls -la /etc/lynx/lynx.cfg
-rw-r--r-- 1 root root 161106 Nov 17  2016 /etc/lynx/lynx.cfg
# grep ^SSL_CERT_FILE /etc/lynx/lynx.cfg
SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt
# lynx  -force_secure -accept_all_cookies https://domain.net/

файл глобальной конфигурации /etc/lynx/lynx.cfg
локальный $HOME/.lynxrc - который можно создать прямо из lynx интерфейса,
но потом лучше править руками, ибо сто лет как lynx из интерфейса не
сохраняет изменения Save to Disk [x].
про -force_secure и -accept_all_cookies прочитаете сами, в man, info
и документации все есть.

Ответить | Правка | Наверх | Cообщить модератору

6. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от Isothiocyanate (ok), 17-Апр-19, 11:20 
>[оверквотинг удален]
> # grep ^SSL_CERT_FILE /etc/lynx/lynx.cfg
> SSL_CERT_FILE:/etc/ssl/certs/ca-certificates.crt
> # lynx  -force_secure -accept_all_cookies https://domain.net/
> файл глобальной конфигурации /etc/lynx/lynx.cfg
> локальный $HOME/.lynxrc - который можно создать прямо из lynx интерфейса,
> но потом лучше править руками, ибо сто лет как lynx из интерфейса
> не
> сохраняет изменения Save to Disk [x].
>  про -force_secure и -accept_all_cookies прочитаете сами, в man, info
> и документации все есть.

Мне не понятен алгоритм починки: я правильно понял что мне надо скачать сертификаты вручную, затем вставить их в нужную директорию, после чего править файл глобального конфига или создать и отредактировать файл локального конфига. ???
А как править вычитать в
>  про -force_secure и -accept_all_cookies прочитаете сами, в man, info
> и документации все есть.

???

Ответить | Правка | Наверх | Cообщить модератору

7. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от lavremail (ok), 17-Апр-19, 12:50 
>[оверквотинг удален]
>> файл глобальной конфигурации /etc/lynx/lynx.cfg
>> локальный $HOME/.lynxrc - который можно создать прямо из lynx интерфейса,
>> но потом лучше править руками, ибо сто лет как lynx из интерфейса
>> не
>> сохраняет изменения Save to Disk [x].
>>  про -force_secure и -accept_all_cookies прочитаете сами, в man, info
>> и документации все есть.
> Мне не понятен алгоритм починки: я правильно понял что мне надо скачать
> сертификаты вручную, затем вставить их в нужную директорию, после чего править
> файл глобального конфига или создать и отредактировать файл локального конфига. ???

корневые сертификаты /etc/ssl/certs/ca-certificates.crt у Вас должны быть актуальные:
# man update-ca-certificates

если Вы хотите добавить свой CA, добавляйте, почитайте документацию.

Корневые сертификаты в Debian/Ubuntu можно обновить с помощью

# sudo dpkg-reconfigure ca-certificates

> А как править вычитать в
>>  про -force_secure и -accept_all_cookies прочитаете сами, в man, info
>> и документации все есть.
> ???

Что вычитать? Я написал пример использования утилиты lynx с командной
строки, чтобы не давить "y/n", принять на всегда "Yes/Always/No..."

Почитайте SSL, после понимания посмотрите:

# dpkg -l | grep ca-certificates
# dpkg -L ca-certificates

Наступит понимание, почитайте документацию, wiki.

Ответить | Правка | Наверх | Cообщить модератору

9. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от rvs2016 (ok), 07-Май-20, 19:08 
> # man update-ca-certificates

No manual entry for update-ca-certificates

# uname
FreeBSD

😒

Ответить | Правка | Наверх | Cообщить модератору

10. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от lavremail (ok), 08-Май-20, 00:52 
>> # man update-ca-certificates
> No manual entry for update-ca-certificates

откуда ему взяться, это не linux

/usr/ports/security/ca_root_nss

> # uname
> FreeBSD
> 😒

Ответить | Правка | Наверх | Cообщить модератору

11. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от rvs2016 (ok), 22-Май-20, 13:53 
>>> # man update-ca-certificates
>> No manual entry for update-ca-certificates
> откуда ему взяться, это не linux
> /usr/ports/security/ca_root_nss

ca_root_nss не помогает устранить проблему сертификатов на сайтах.
Я даже обновил этого ca_root_nss до последней версии и всё-равно бесполезно:

# pkg upgrade ca_root_nss
Updating FreeBSD repository catalogue...
FreeBSD repository is up to date.
All repositories are up to date.
The following 1 package(s) will be affected (of 0 checked):

Installed packages to be UPGRADED:
        ca_root_nss: 3.44 -> 3.52

Number of packages to be upgraded: 1

289 KiB to be downloaded.

Proceed with this action? [y/N]: y
[1/1] Fetching ca_root_nss-3.52.txz: 100%  289 KiB  98.8kB/s    00:03
Checking integrity... done (0 conflicting)
[1/1] Upgrading ca_root_nss from 3.44 to 3.52...
[1/1] Extracting ca_root_nss-3.52: 100%

# lynx -source https://домен_https_сайта

Идет поиск домен_https_сайта
Устанавливается HTTPS соединение с домен_https_сайта
SSL callback:ok, preverify_ok=1, ssl_okay=0
SSL callback:ok, preverify_ok=1, ssl_okay=0
SSL callback:ok, preverify_ok=1, ssl_okay=0
Проверенное подключение к домен_https_сайта (subj=домен_https_сайта)
Кем выдан сертификат: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
Безопасное HTTP-соединение: 128 бит TLSv1.2 (ECDHE-RSA-AES128-GCM-SHA256)
Посылка HTTP-запроса.
HTTP-запрос послан; ожидается ответ.
Внимание!: HTTP/1.1 204 No Content

lynx: Начальный файл либо не удается найти, либо он не text/html или text/plain
      Выход...

Реальный домен сайта я в этом примере заменил на домен_https_сайта.
Сайт нормальный. Файрфоксом открывается и работает.

Как же перебороть эту сертификатную проблему? 🤔

Ответить | Правка | Наверх | Cообщить модератору

12. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от lavr (ok), 22-Май-20, 15:25 
>[оверквотинг удален]
> Безопасное HTTP-соединение: 128 бит TLSv1.2 (ECDHE-RSA-AES128-GCM-SHA256)
> Посылка HTTP-запроса.
> HTTP-запрос послан; ожидается ответ.
> Внимание!: HTTP/1.1 204 No Content
> lynx: Начальный файл либо не удается найти, либо он не text/html или
> text/plain
>       Выход...
> Реальный домен сайта я в этом примере заменил на домен_https_сайта.
> Сайт нормальный. Файрфоксом открывается и работает.
> Как же перебороть эту сертификатную проблему? 🤔

ниче не понял, но могу предположить что проблема в непонимании
и неправильных настройках SSL на web-сервере.

Ответить | Правка | Наверх | Cообщить модератору

13. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от rvs2016 (ok), 22-Май-20, 15:50 
> ниче не понял, но могу предположить что проблема в непонимании
> и неправильных настройках SSL на web-сервере.

У меня три фряхи:
1. 12.0-RELEASE
2. 12.0-RELEASE
3. 10.1-RELEASE

На первой фряхе я обращаюсь браузером lynx (да и программой curl) к немоему https-сайту (т.е. на том сайте я не могу настраивать сертификаты). И получаю нормальный ответ - запрошенную html-страницу.

На остальных двух фряхах ни lynx'ом, ни curl'ом запросы к тому же сайту успехом не завершаются. У lynx конец ответа о неудаче выглядит так:

> Безопасное HTTP-соединение: 128 бит TLSv1.2 (ECDHE-RSA-AES128-GCM-SHA256)
> Посылка HTTP-запроса.
> HTTP-запрос послан; ожидается ответ.
> Внимание!: HTTP/1.1 204 No Content
> lynx: Начальный файл либо не удается найти, либо он не text/html или
> text/plain
>       Выход...

Более полный ответ lynx - в предыдущем моём сообщении (а то тут всё-равно цитата сократится автоматически).

Я предположил, что для того, чтобы с того сайта ответы приходили успешными, в моих фряхах должна быть установленной какая-то штука. Возможно, что этой штукой является ca_root_nss. Обновил её на второй фряхе (которая 12.0-RELEASE) до самой последней версии (ca_root_nss: 3.44 -> 3.52). Не помогло. Значит что-то ещё должно влиять на то, чтобы мои запросы lynx'ом или curl'ом к тому сайту давали такие же успешные ответы, как и на первой фряхе. А что именно дополнительно влияет на успешность выполнения таких запросов - не знаю...

Ответить | Правка | Наверх | Cообщить модератору

14. "Lynx:  SSL error:The certificate is NOT trusted."  +/
Сообщение от lavr (ok), 22-Май-20, 20:26 
>[оверквотинг удален]
> Более полный ответ lynx - в предыдущем моём сообщении (а то тут
> всё-равно цитата сократится автоматически).
> Я предположил, что для того, чтобы с того сайта ответы приходили успешными,
> в моих фряхах должна быть установленной какая-то штука. Возможно, что этой
> штукой является ca_root_nss. Обновил её на второй фряхе (которая 12.0-RELEASE) до
> самой последней версии (ca_root_nss: 3.44 -> 3.52). Не помогло. Значит что-то
> ещё должно влиять на то, чтобы мои запросы lynx'ом или curl'ом
> к тому сайту давали такие же успешные ответы, как и на
> первой фряхе. А что именно дополнительно влияет на успешность выполнения таких
> запросов - не знаю...

sorry, но ответ как на деревню дедушке...

# curl --insecure -v https://bsd.jinr.ru/ 2>&1 | awk 'BEGIN { cert=0 } /^\* Server certificate:/ { cert=1 } /^\*/ { if (cert) print }'

* Server certificate:
*  subject: CN=bsd.jinr.ru
*  start date: May 18 18:27:11 2020 GMT
*  expire date: Aug 16 18:27:11 2020 GMT
*  issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
*  SSL certificate verify ok.
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Mark bundle as not supporting multiuse
*default host=bsd.jinr.ru
* Connection #0 to host bsd.jinr.ru left intact

# echo | openssl s_client -servername unix1.jinr.ru -connect unix1.jinr.ru:443
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = unix1.jinr.ru
verify return:1
---
Certificate chain
0 s:CN = unix1.jinr.ru
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру