¿Domingo por la mañana sin nada que hacer ? oh yeah, hora de depurar esa mierda
Hace tiempo que no escribo nada en este blog y no por que se me había olvidado escribir si no por que no había nada interesante que escribir, ya ven las ultimas entradas son de problemas que he resuelto en vesta, mysql etc etc
Pues hoy me ha dado por revisar el tema este de los centos 6, En centos 7 el problema esta parcheado con una actualizaciones y en todos los sistemas vigentes también pero centos 6 esta ya obsoleto y nadie sacara parche ( red hat a sacado uno para la versión extendida de redhat6 pero hay que pagar para obtenerlo ) las versiones de ubuntu 14 y las que no tienen soporte es sencillo solucionar el problema, basta con quitar DST Root CA X3.pem de la carga de los SSL, en el ca-certificates y todo como nuevo.
En centos 6 no se que pasa, esta jodido el tema, esta tan jodido que la gente habla de parchear openssl ya que la versión 1.0.1 gestiona un poco diferente los CA y como que no es capas de omitir el CA caducado y usar el nuevo.
Luego veo el tema de redhat y sacan actualización para todos los paquetes de NSS yo ya sospechaba que podía ir por ahí el tema pero no me quedo claro al final.
La solución al final parece que pasa por compilar openssl, cosa que parece sencilla, pero no vale con compilar openssl y renombrar el binario, si no se desinstala el anterior openssl no funciona.
El error ya sabemos cual es:
wget https://community.letsencrypt.org/ --2021-10-03 06:31:47-- https://community.letsencrypt.org/ Resolving community.letsencrypt.org... 64.71.144.202, 2602:fd3f:3:ff01::ca Connecting to community.letsencrypt.org|64.71.144.202|:443... connected. ERROR: cannot verify community.letsencrypt.org's certificate, issued by `/C=US/O=Let\'s Encrypt/CN=R3': Issued certificate has expired. To connect to community.letsencrypt.org insecurely, use `--no-check-certificate'.
openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
¿Que he hecho para solucionarlo ?
El resumen es el siguiente, si sabes y te arriesgas podrás hacerlo bien, si no puedes cargarte el sistema, por eso no pongo un paso a paso.. que luego la gente va copia y pega, se rompe todo, no tienen backup y la culpa es mia :S
Continuar leyendo «Centos 6 Fix para DST ROOT CA X3 Lets encrypt»