実行すると、sudo lynis audit system
SSL証明書の2つ(/etc/ssl/certs/ca-certificates.crtおよび/etc/ssl/certs/ssl-cert-snakeoil.pem)が期限切れになったことを示すメッセージが表示されます。
この問題を解決するにはどうすればよいですか?その証明書を削除しますか?それではどうでしょうか?私はDebian 9.1とKDEを使用しています。
答え1
/etc/ssl/certs/ca-certificates.crt
単に「あなたの」SSL証明書になってはいけません。信頼できるCA証明書の完全なリストを単一のファイルに保存するプログラムの場合は、OpenSSLが信頼するすべてのCA証明書を関連付ける必要があります。
OpenSSLを使用する一部のプログラムは、ファイル名が証明書ハッシュ(通常は0のN形式)のディレクトリ内の別々のファイルとして信頼できるCA証明書を期待しますHHHHHHHH.N
(同じハッシュを持つ証明書が2つ以上ある場合、最初の証明書は同じハッシュ)サフィックス.0
、2番.1
目など)。これはディレクトリのシンボリックリンクを介して行われます/etc/ssl/certs
。
どちらの形式もupdate-ca-certificates
ファイルによって制御されるコマンドで管理されます/etc/ca-certificates.conf
。ルート証明書の実際のマスターコピーは/usr/share/ca-certificates/
(/usr/local/share/ca-certificates
Debianの方法でカスタムルート証明書を追加することを選択した場合)、サブディレクトリにあります。
特定のデフォルトのCA証明書を除外するには(たとえば、証明書の有効期限が切れ、システム構成から期限切れの証明書をすべて削除するように指示されたため)、編集して行の前に感嘆/etc/ca-certificates.conf
符を付けてからupdate-ca-certificates
rootを実行する必要があります。カスタムCA証明書の場合は、/usr/local/share/ca-certificates/*
実行する前にサブディレクトリから削除する必要がありますupdate-ca-certificates
。それ以外の場合は、update-ca-certificates will just add it back whenever the
ca-certificates パッケージが更新または再構成されます。
期限切れの証明書は/etc/ssl/certs
通常問題ではありません。 OpenSSLライブラリ機能は、期限切れの証明書を確認し、期限切れの証明書を検証失敗として報告します。もちろん、システムがリアルタイムと日付を認識しない場合、またはアプリケーションが誤ってプログラムされて証明書の有効期限を無視する場合は、構成から期限切れの証明書を削除する必要がある理由があります。
/etc/ssl/certs/ssl-cert-snakeoil.pem
証明書を再生成する場合、コマンドは次のようになります。
make-ssl-cert generate-default-snakeoil --force-overwrite
その後、/etc/ssl/certs/ssl-cert-snakeoil.pem
新しい自己署名証明書で証明書を上書きし、対応する新しい秘密鍵で/etc/ssl/private/ssl-cert-snakeoil.key
ファイルを上書きします。
答え2
ディストリビューションのパッケージリポジトリに「ca-certificates」パッケージが必要です。
このパッケージをアップグレードすると、インストールしたCA証明書もアップグレードされます。
ただし、システムからca-certificates.crtを削除すると、他の人のSSL証明書を信頼できなくなります。