关于loongnix上wget的证书错误

寻找繁星

loongnix上可能少了什么证书，使得tuna源等网站的https资源用wget下载时会报证书错误：

$ wget https://mirrors.tuna.tsinghua.edu.cn/nodejs-release/v17.7.1/node-v17.7.1.tar.gz
--2022-03-17 11:07:44--  https://mirrors.tuna.tsinghua.edu.cn/nodejs-release/v17.7.1/node-v17.7.1.tar.gz
正在解析主机 mirrors.tuna.tsinghua.edu.cn (mirrors.tuna.tsinghua.edu.cn)... 2402:f000:1:400::2, 101.6.15.130
正在连接 mirrors.tuna.tsinghua.edu.cn (mirrors.tuna.tsinghua.edu.cn)|2402:f000:1:400::2|:443... 已连接。
错误: “mirrors.tuna.tsinghua.edu.cn” 的证书不可信。
错误: “mirrors.tuna.tsinghua.edu.cn” 的证书已经过期。

我尝试过安装debian的最新ca-certificates包：

# https://packages.debian.org/bullseye/all/ca-certificates/download
wget http://http.us.debian.org/debian/pool/main/c/ca-certificates/ca-certificates_20210119_all.deb
export PATH=$PATH:/usr/local/sbin:/usr/sbin:/sbin
sudo dpkg -i ca-certificates_20210119_all.deb

但是并没有解决问题。因此我目前只好禁用了wget的检查证书功能：

# https://superuser.com/questions/508696/is-there-a-shorter-version-of-wget-no-check-certificate-option
echo "check_certificate = off" >> ~/.wgetrc

有没有更安全的解决方案？

杜比

这应该不是loongnix的问题，是网站的证书失效了

xied75

也算是loongnix的问题，这个清华的mirror，mirrors.tuna.tsinghua.edu.cn用的是免费的 https://letsencrypt.org/ 所颁发的证书，他们证书的root之前是DST_Root_CA_X3，已于Sep 30 14:01:15 2021 GMT失效，这个旧root在2015年就已经被替换为ISRG_Root_X1，这个于Jun 4 11:04:38 2035 GMT到期。这个问题基本只在“老”系统上出现，我在Windows 10 WSL Ubuntu 14.04上复现了这个错误，解决的办法就是拿掉DST_Root_CA_X3：

sudo sed -i"" 's/mozilla\/DST_Root_CA_X3.crt/!mozilla\/DST_Root_CA_X3.crt/' /etc/ca-certificates.conf

sudo dpkg-reconfigure -fnoninteractive ca-certificates

sudo update-ca-certificates

这样操作之后wget就没有问题了。

本站文章除其作者特殊声明外，一律采用CC BY-NC-SA 4.0许可协议进行授权。
进行转载或二次创作时务必以相同协议进行共享，严禁用于商业用途。