Let’s Encrypt是由互联网安全研究集团(ISRG)运营的非营利证书机构,免费提供用于传输层安全(TLS)加密的X.509证书。它是世界上最大的认证机构,被超过3亿的网站使用,的目标是所有的网站都是安全的,并使用HTTPS。互联网安全研究小组(ISRG)是该服务的提供者,是一个公益组织主要赞助商包括电子前沿基金会(EFF)、Mozilla基金会、OVH、思科系统、Facebook、谷歌Chrome、互联网协会、AWS、NGINX和比尔和梅林达·盖茨基金会其他合作伙伴包括证书权威机构IdenTrust、密歇根大学(U-M)、和Linux基金会
描述:
https://en.wikipedia.org/wiki/Let%27s_Encrypt
该组织的使命是通过促进HTTPS的广泛采用来创建一个更安全、更尊重隐私的全球Web让我们加密证书的有效期为90天,在此期间可以随时更新这是通过一个自动化流程来处理的,旨在克服安全网站证书的手动创建、验证、签名、安装和更新。该项目声称其目标是使到万维网服务器的加密连接无处不在通过消除支付、web服务器配置、验证邮件管理和证书更新任务,它将显著降低设置和维护TLS加密的复杂性。
在Linux web服务器上,只执行两个命令就足以设置HTTPS加密并获取和安装证书。为此,官方的Debian和Ubuntu软件库中包含了一个软件包。目前,Mozilla和谷歌等主要浏览器开发人员反对未加密HTTP的举措都依赖于Let’s Encrypt的可用性。该项目被认为有潜力完成加密连接,作为整个Web的默认情况。
该服务只颁发域验证的证书,因为它们可以完全自动化。组织验证和扩展验证证书都需要任何注册者的人工验证,因此Let’s Encrypt.不提供2018年3月增加了对ACME v2和通配符证书的支持Let’s Encrypt使用的域验证(DV)可以追溯到2002年,在成为广泛接受的SSL证书颁发方法之前,最初由GeoTrust引入时存在争议。
通过尽可能透明,该组织希望既保护自己的可信度,又防止攻击和操纵企图。为此,它定期发布透明度报告,公开记录所有ACME事务(例如,通过使用证书透明度),并尽可能使用开放标准和自由软件
原因
国外论坛说了原因大致是:Let’s Encrypt 's — 一个免费、自动化和开放的证书颁发机构,根证书“DST Root CA X3”已于2021 年 9 月 30 日到期。
对于大多数实际用途而言,这无关紧要,因为 Let’s Encrypt 已经将其证书迁移到“ISRG Root X1”。它与新系统上的 ISRG Root X1 证书链接,而旧系统上的 ISRG Root X1 与 DST Root CA X3 交叉签名。但是,DST Root CA X3 到期会影响依赖与操作系统捆绑的旧可信证书的嵌入式系统和服务器。
lynx或curl依赖默认证书密钥库来信任安全 URL,如果证书尚未更新,它将在 2021 年 9 月 30 日之后开始失败,并收到类似于以下内容的错误:
curl: (60) The certificate issuer's certificate has expired. Check your system date and time.
OR
server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
解决办法
centos
sudo yum install ca-certificates
sudo update-ca-trust extract
Debian
sudo apt-get install --reinstall ca-certificates
PS:如果yum之前清了缓存,更新不了,下面有一个方案即可解决。
暂时关闭SSL检查认证
root@master ~]# cat /etc/yum.conf
[main]
cachedir=/var/cache/yum/$basearch/$releasever
keepcache=0
debuglevel=2
logfile=/var/log/yum.log
exactarch=1
obsoletes=1
gpgcheck=1
plugins=1
installonly_limit=5
bugtracker_url=http://bugs.centos.org/set_project.php?project_id=23&ref=http://bugs.centos.org/bug_report_page.php?category=yum
distroverpkg=centos-release
sslverify=false # 添加此行(跳过ssl认证)
# 这是默认设置,如果您将此设置做大,yum将看不到远程上的元数据是否更新,因此您将“获得”不必下载新元数据的带宽,并通过yum没有正确的信息为其“付费”。
# 对于像Fedora这样不保留旧包的发行版来说,拥有正确的元数据尤为重要。如果您不喜欢这种检查中断您的命令行使用,那么最好是让某些工具每小时手动检查一次元数据(yum-updatesd将执行此操作)。metadata_expire = 90
# PUT YOUR REPOS HERE OR IN separate files named file.repo
# in /etc/yum.repos.d
在关闭认证后,可以正常使用yum更新包,注意更新完成后将这行去掉!
There is no easy situation in the world; There is no idle time on earth.