Vlákno názorů k článku
Vypršel kořenový certifikát DST Root CA používaný autoritou Let's Encrypt
od Holdenger - RIP CentOS(EL) 6
-
Bohužel bez zásahu do openssl buildu opravdu dlouhý LE chain s tím DST X3 cross-signem důvěrou "neprojde" ani po updatu ca-certificates. NSS based věcem zřejmě update certů i v rámci Centos 6 vault (6.10) stačí ...
Protože mne to vadilo, vyrobil jsem si openssl-1.0.1e-58.pd1trfir.el6.src.rpm (s trvale zapnutým -trusted_first). Zdá se, že funguje. V případě zájmu k nahlédnutí , technicky jde o patch
- if (ctx->param->flags & X509_V_FLAG_TRUSTED_FIRST)
+ if (/* Dufek - always - ctx->param->flags & */ X509_V_FLAG_TRUSTED_FIRST)
v openssl-1.0.1e/crypto/x509/x509_vfy.c ...
