Перейти к публикации
  • разработка интернет магазинов на opencart
  • доработка интернет магазинов на opencart

Важно: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3.


dinox
 Поделиться

Рекомендованные сообщения

30 сентября 2021 14:01:15 GMT окончился срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let's Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а "устаревшие системы" - это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?  Читате подробнее на Хабре https://habr.com/ru/post/580092/?

Что же делать, Let's Encrypt же наверное решит эту проблему?
Да скорее всего решит, но пока не решил, уходите под сертификаты от cloudflare или покупайте платные ssl сертификаты. 

Что делать если не работают кроны, которые вызываются через wget?
- добавить везде --no-check-certificate

 

Если у Вас стоит ISP Manager, можно как-то это решить?
Да можно в консоли сервера выполнить:
 

Для Centos

yum update ca-certificates

 

Для Ubuntu

sudo dpkg-reconfigure ca-certificates

 

И перевыпустить сертификаты на доменах

 

Если используется запросы через Curl, как запустить их?

отключить проверку сертификата

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);


Если на сайте идет работа с XML, как отключить проверку?

Добавить параметры, для игнорирования в simplexml_load_file

$context = stream_context_create(array('ssl'=>array(
    'verify_peer' => false, 
    "verify_peer_name"=>false
    )));

libxml_set_streams_context($context);

$sxml = simplexml_load_file($webhostedXMLfile);

 

 

Данный пост будет обновляться

 

 

  • +1 4
Ссылка на комментарий
Поделиться на других сайтах


ПФ. сменю браузер на старый и перейду на http.

  • +1 1
Ссылка на комментарий
Поделиться на других сайтах

1 година назад, dinox сказав:

- добавить везде --no-check-certificate

 

Сегодня именно это и добавлял Debian 8

Ссылка на комментарий
Поделиться на других сайтах

В 01.10.2021 в 22:23, dinox сказал:

Что делать если не работают кроны, которые вызываются через wget?
- добавить везде --no-check-certificate

 

что делать если обращение идет через curl на php?

 

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

 

  • +1 1
Ссылка на комментарий
Поделиться на других сайтах

У меня техподдержка обновила пакет на сервере

 

yum update ca-certificates

 

Всё заработало.

 

Изменено пользователем Waskadagama
Ссылка на комментарий
Поделиться на других сайтах


В 01.10.2021 в 22:23, dinox сказал:

-no-check-certificate

В каком месте в команде для крона вписывать это?
/usr/bin/wget -O -q -t 1 "https://мо сайт/index.php?route=extension/module/change_status&secret=и тут набор цифр и букв"

Ссылка на комментарий
Поделиться на других сайтах


В 03.10.2021 в 12:23, sitecreator сказал:
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

 


//$url = 'https://opencart-forum.ru/';
$url = 'https://hitex.by/';

if (1 == 0) {
	$ch = curl_init($url);
	curl_setopt($ch, CURLOPT_CAINFO, 'H:/OSPanel/domains/mysite.by/cacert-2021-09-30.pem'); // https://curl.se/docs/caextract.html
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
	curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);

	$result = curl_exec($ch);

	curl_close($ch);
} else {
	$options = array();
	$options['ssl']['verify_peer'] = true;
	$options['ssl']['verify_peer_name'] = true;
	$options['ssl']['cafile'] = 'H:/OSPanel/domains/mysite.by/cacert-2021-09-30.pem'; // https://curl.se/docs/caextract.html

	$result = file_get_contents($url, false, stream_context_create($options));
}

echo $result;

 

Ссылка на комментарий
Поделиться на других сайтах

  • 3 недели спустя...

я решал проблему так

Т.к. проблема касалась нескольких сайтов на сервере и имелся полный доступ к управлению сервером то я сделал следующее:

Пошел на https://curl.se/docs/caextract.html

Скачал cacert.pem

Положил cacert.pem в /etc/ssl/certs/cacert.pem

Затем в php.ini в раздел openssl прописал следующее:

[openssl]

openssl.cafile=/etc/ssl/certs/cacert.pem

Перезагрузил php, проблема исчезла

Ссылка на комментарий
Поделиться на других сайтах


Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Поделиться

×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.