从这个博客。
中间 CA 是由根 CA 签署的证书,可以为任何网站签署任意证书。
它们与根 CA 一样强大,但是没有您系统信任的完整列表,因为根 CA 可以随意创建新的,并且您的系统一开始就会信任它们。有数千人登录 CT。
本月出现了一个有趣的消息,显然是 2015 年 9 月生成的:“Blue Coat Public Services Intermediate CA”,由赛门铁克签署。(到目前为止,该 CA 签署的证书还没有到达 CT 日志或 Censys。)
我认为这是一个很好的机会,可以写出如何明确地不信任 OS X 中本来可以信任的中间 CA。它不会阻止根 CA 将新的中间件交给同一个组织,但总比没有好。
当我在 Ubuntu 中尝试博客中的步骤时,我下载了这个证书https://crt.sh/?id=19538258。当我打开 .crt 时,它会导入到 Gnome 密钥环中,但是在导入后我找不到“不信任”证书的方法。
在官方的ssl文档列出密码在不同的格式卷曲发生。例如,如果我想让 curl 使用密码 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,我必须通过它curl --ciphers ecdhe_rsa_3des_sha。我知道一些映射是什么,但不是全部 - 例如,我必须传递什么才能让 curl 使用密码 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256?
有什么地方可以找到显示 ssl 文档中的密码名称如何映射到 curl 接受的密码名称的文档?
编辑:我最终发现我的 curl 是由 NSS 支持的,而不是 OpenSSL,这个问题的具体原因是没有关于使用 NSS 支持的 curl 的良好文档,而它需要一个与 OpenSSL 不同的参数来使用相同的密码。所以我的问题是针对 NSS 的。
NSS error -12286使用 HTTPS 从 HTTPS 下载文件时出现错误curl。
我可以毫无问题地下载相同的文件,wget因此我可以排除任何防火墙或黑名单问题。
已经尝试过,没有运气,选项-k和--cipher ecdhe_ecdsa_aes_128_gcm_sha_256,这是根据 Qualys SSL Labs 测试服务器工具的服务器首选密码:https ://www.ssllabs.com/ssltest/analyze.html?d=intribunale.net&latest
这是cURL日志:
# curl -v https://www.intribunale.net/immobili
* About to connect() to www.intribunale.net port 443 (#0)
* Trying 104.27.150.214... connected
* Connected to www.intribunale.net (104.27.150.214) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -12286
* Closing connection #0
* SSL connect error
curl: (35) SSL connect …