Certificado CA raiz vencido [RESOLVIDO]

andreridrigue5
(usa Debian)

Enviado em 30/09/2021 - 15:50h

Pessoal, primeiro, desculpa por colocar como Apache Web Server, foi o mais próximo que achei, mas o ideal acredito que teria que ser na categoria de SSL.

Eu tenho um servidor Debian 9, rodando apache2 e php.

Hoje fui pego de surpresa, meu CA raiz venceu, pelo visto o de muita gente segunda essa reportagem:
https://sempreupdate.com.br/milhares-de-dispositivos-perderao-o-acesso-a-world-wide-web-em-3-dias-qu...

Com isso quando tento usar o Curl, ele retorna que o certificado está vencido segundo mensagem de error:
curl: (60) SSL certificate problem: certificate has expired

Tanto a URL de origem como a de destino estão com os SSL ativos e válidos, mas como o CA Raiz está vencido, não consigo usar requisições usando o Curl para rotas com https.

Rodei a internet inteira e não acho uma solução, alguém já passou por isso? Conseguem me ajudar?

Att,

removido
(usa Nenhuma)

Enviado em 30/09/2021 - 17:05h

Se foi a "sua CA", entendo que basta gerar outra.

No caso da CA Let’s Encrypt é muito simples... Baixe a nova CA, copie o crt para "/usr/local/share/ca-certificates/" e execute:

$ sudo update-ca-certificates 

Você também tem a opção de utilizar o curl com o parâmetro "-k" ou "--insecure".

removido
(usa Nenhuma)

Enviado em 30/09/2021 - 17:21h

Adendo,
Monitoração é crucial, principalmente em ambiente produtivo.

No Nagios/Zabbix é muito simples implementar uma monitoração de certificado.

Exemplo script Nagios:
$ /usr/local/nagios/libexec/check_http -H www.vivaolinux.com.br -S --sni -C 60,30

SSL OK - Certificate 'sni.cloudflaressl.com' will expire in 253 days on 2022-06-10 20:59 -0300/-03. 

removido
(usa Nenhuma)

Enviado em 30/09/2021 - 17:41h

A matéria mencionada por você fala de sistemas legados, que não são ou não podem ser atualizados. O Debian 9 (Stretch), ainda não chegou em end-of-life (não acredito que seja esse o caso).

Caso seja um emissor reconhecido e homologado pelo Debian/navegadores, basta atualizar o S.O.

Verifique quem é o emissor dessa CA.

andreridrigue5
(usa Debian)

Enviado em 30/09/2021 - 18:36h

Meu Debian eu não sei exatamente qual foi a versão instalada, é um servidor com alguns anos, fui atualizando ele até chegar no 9, acredito que em algum momento o OpenSsl ficou parado no tempo por algum motivo.

Na verdade, não é o SSL dos sites, esses estavam todos OK, já tenho uma rotina automática que valida quando está perto do vencimento e renova automaticamente, era o certificado do servidor em sim, consegui corrigir aqui fazendo a atualização do servidor, falha minha, poderia ter feito isso desde o começo, só dei um app update/upgrade e ele atualizou o openssl e na própria atualização ele falou que ia atualizar os CAs e pronto, tudo voltou a funcionar.

Muito obrigado pelo ajuda e vou deixar aqui o tópico para se mais algum se deparar com isso.

Abração!!!