Проблема с подключением к некоторым URL HTTPS

Question

У меня проблемы с подключением к некоторым веб-сайтам с использованием https. wget и curl жалуются на невозможность проверить сертификат. Я предполагаю, что это связано с отсутствием корневых сертификатов на моем NAS. Например:

ReadyNAS:~# wget https://pypi.python.org/
--2016-04-12 20:08:51--  https://pypi.python.org/
Resolving pypi.python.org... 23.235.43.223
Connecting to pypi.python.org|23.235.43.223|:443... connected.
ERROR: cannot verify pypi.python.org's certificate, issued by `/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA':
  Unable to locally verify the issuer's authority.
ERROR: certificate common name `www.python.org' doesn't match requested host name `pypi.python.org'.
To connect to pypi.python.org insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

Я вручную скомпилировал и обновил как curl, так и wget до последних версий (GNU Wget 1.11.4; libcurl/7.45.0 GnuTLS/3.3.18 zlib/1.2.3.3), но безрезультатно.

Предыстория: дистрибутив linux на моем NAS довольно старый (Debian Sid, Linux 2.6.37.6). Обычные команды для обновления хранилища SSL, похоже, не действуют.

Как мне найти причину этих проблем с подключением и устранить их?

Answer 1

Есть две ошибки:

ERROR: cannot verify pypi.python.org's certificate, issued by `/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA': Unable to locally verify the issuer's authority.

Это означает, что DigiCert CA не находится в хранилище доверия ОС. Вы должны иметь возможность добавить его, загрузив CA crt (то есть из Firefox), а затем добавив его:

cp digicert.crt /usr/local/share/ca-certificates/digicert.crt

update-ca-certificates

(Я не совсем уверен насчет этих команд, но должен работать и на старом Debian ...)

ERROR: certificate common name `www.python.org' doesn't match requested host name `pypi.python.org'.

Это означает, что сертификат не был проблемой для домена pypi.python.org, но, проверяя сертификат с помощью firefox, я вижу, что pypi.python.org указан в сертификате. Возможно, это ложная тревога, вызванная отсутствием CA, попробуйте исправить это раньше.

[ностальгия] Аууу, старое доброе ядро 2.6:D [/nostalgic]