まあ考えていても仕方ないし寝るか 起きたらdownloads.openwrt.orgの問題解決していてほしいが
Conversation
Notices
-
大破 (musashino205@mstdn.maud.io)'s status on Friday, 01-Oct-2021 05:27:03 JST 
大破
-
ぽな@ばぐとら 🛸 (ponapalt@ukadon.shillest.net)'s status on Friday, 01-Oct-2021 05:26:55 JST 
ぽな@ばぐとら 🛸
@zundan @musashino205 証明書チェーンはDST Root CA X3まで続いてるけど、検証はISRG Root X1で止まるはず…
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:26:57 JST 
zunda
@musashino205 あるいはサーバ側でDST Root CA X3に署名されたISRG Root X1を消してもいいです
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:26:58 JST
zunda
@musashino205 勘違いでした!! 証明書チェーンはDST Root CA X3にも署名されてました。クライアント側でTLSの実装を直すかDST Root CA X3を信頼しないようにする必要があります。
$ :| openssl s_client -connect downloads.openwrt.org:443 -servername downloads.openwrt.org -showcerts 2>/dev/null | grep -e 's:\|i:' 0 s:CN = downloads.openwrt.org i:C = US, O = Let's Encrypt, CN = R3 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1 i:O = Digital Signature Trust Co., CN = DST Root CA X3
-
大破 (musashino205@mstdn.maud.io)'s status on Friday, 01-Oct-2021 05:27:00 JST
大破
@zundan OpenWrtはDebianのca-certificates利用していますが、確認した範囲だと現ルート含んでいるバージョン使っていそうではあります...https://github.com/openwrt/openwrt/blob/openwrt-21.02/package/system/ca-certificates/Makefile#L10
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:27:00 JST
zunda
@musashino205 なるほどー。downloads.openwrt.orgの証明書チェーンには8月初旬からDST Root CA X3は含まれていなかったっぽいので何か別の原因がありそうです…うーむ
$ :| openssl s_client -connect downloads.openwrt.org:443 -servername downloads.openwrt.org | openssl x509 -noout -startdatedepth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1verify return:1depth=1 C = US, O = Let's Encrypt, CN = R3verify return:1depth=0 CN = downloads.openwrt.orgverify return:1DONEnotBefore=Aug 3 21:00:49 2021 GMT
-
大破 (musashino205@mstdn.maud.io)'s status on Friday, 01-Oct-2021 05:27:02 JST
大破
@zundan :naruhodo: OpenWrtがデフォルトで使用するWolfSSLの実装が今回良くなかったという感じになったりしそうですねぇ...
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:27:02 JST
zunda
@musashino205 あるいは証明書ストアにISRG Root X1が無いか…
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:27:03 JST
zunda
@musashino205 ISRG Root X1で署名されてるのでクライアント側でなんとかしないといけない感じかもです…
$ :| openssl s_client -connect downloads.openwrt.org:443 -servername downloads.openwrt.org > /dev/nulldepth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1verify return:1depth=1 C = US, O = Let's Encrypt, CN = R3verify return:1depth=0 CN = downloads.openwrt.orgverify return:1DONE
-
ぽな@ばぐとら 🛸 (ponapalt@ukadon.shillest.net)'s status on Friday, 01-Oct-2021 05:31:20 JST
ぽな@ばぐとら 🛸
@zundan @musashino205 ええ、OpenSSL 1.0.2でだいぶ問題になったのでわかります、ただwolfSSLさんが同じようなぽんこつなことしてるのかなあとちょっと疑問に思ったもので…
Windows上だとなぜか中間証明書のR3が証明書ストアに含まれてて、そっちの期限切れで駄目になったという謎現象が起きましたけど…
-
zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 01-Oct-2021 05:31:22 JST
zunda
@ponapalt @musashino205 古いクライアントには一番長いチェーンまでつきすすむやつがあるらしく、そうするとDST Root CA X3まで行って有効期限切れで検証に失敗するっぽいです。
-
All senooken JP Social content and data are available under the