Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Важно: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3.


dinox

Recommended Posts

30 сентября 2021 14:01:15 GMT окончился срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let's Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а "устаревшие системы" - это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?  Читате подробнее на Хабре https://habr.com/ru/post/580092/?

Что же делать, Let's Encrypt же наверное решит эту проблему?
Да скорее всего решит, но пока не решил, уходите под сертификаты от cloudflare или покупайте платные ssl сертификаты. 

Что делать если не работают кроны, которые вызываются через wget?
- добавить везде --no-check-certificate

 

Если у Вас стоит ISP Manager, можно как-то это решить?
Да можно в консоли сервера выполнить:
 

Для Centos

yum update ca-certificates

 

Для Ubuntu

sudo dpkg-reconfigure ca-certificates

 

И перевыпустить сертификаты на доменах

 

Если используется запросы через Curl, как запустить их?

отключить проверку сертификата

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);


Если на сайте идет работа с XML, как отключить проверку?

Добавить параметры, для игнорирования в simplexml_load_file

$context = stream_context_create(array('ssl'=>array(
    'verify_peer' => false, 
    "verify_peer_name"=>false
    )));

libxml_set_streams_context($context);

$sxml = simplexml_load_file($webhostedXMLfile);

 

 

Данный пост будет обновляться

 

 

  • +1 4
Надіслати
Поділитися на інших сайтах


1 година назад, dinox сказав:

- добавить везде --no-check-certificate

 

Сегодня именно это и добавлял Debian 8

Надіслати
Поділитися на інших сайтах

В 01.10.2021 в 22:23, dinox сказал:

Что делать если не работают кроны, которые вызываются через wget?
- добавить везде --no-check-certificate

 

что делать если обращение идет через curl на php?

 

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

 

  • +1 1
Надіслати
Поділитися на інших сайтах

В 01.10.2021 в 22:23, dinox сказал:

-no-check-certificate

В каком месте в команде для крона вписывать это?
/usr/bin/wget -O -q -t 1 "https://мо сайт/index.php?route=extension/module/change_status&secret=и тут набор цифр и букв"

Надіслати
Поділитися на інших сайтах


В 03.10.2021 в 12:23, sitecreator сказал:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

 


//$url = 'https://opencartforum.com/';
$url = 'https://hitex.by/';

if (1 == 0) {
	$ch = curl_init($url);
	curl_setopt($ch, CURLOPT_CAINFO, 'H:/OSPanel/domains/mysite.by/cacert-2021-09-30.pem'); // https://curl.se/docs/caextract.html
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
	curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);

	$result = curl_exec($ch);

	curl_close($ch);
} else {
	$options = array();
	$options['ssl']['verify_peer'] = true;
	$options['ssl']['verify_peer_name'] = true;
	$options['ssl']['cafile'] = 'H:/OSPanel/domains/mysite.by/cacert-2021-09-30.pem'; // https://curl.se/docs/caextract.html

	$result = file_get_contents($url, false, stream_context_create($options));
}

echo $result;

 

Надіслати
Поділитися на інших сайтах

  • 3 weeks later...

я решал проблему так

Т.к. проблема касалась нескольких сайтов на сервере и имелся полный доступ к управлению сервером то я сделал следующее:

Пошел на https://curl.se/docs/caextract.html

Скачал cacert.pem

Положил cacert.pem в /etc/ssl/certs/cacert.pem

Затем в php.ini в раздел openssl прописал следующее:

[openssl]

openssl.cafile=/etc/ssl/certs/cacert.pem

Перезагрузил php, проблема исчезла

Надіслати
Поділитися на інших сайтах


  • dinox unpinned this topic

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.