GeoTrust全局CA验证中的openssl错误，但ssllabs.com将站点标记为A+

Question

从我的码头形象来看：

FROM ruby:2.7

RUN apt-get update && apt-get install -y libicu-dev default-libmysqlclient-dev curl jq poppler-utils ghostscript vim-tiny zip ffmpeg

ARG GITHUB_ACCESS_TOKEN=wrong
ARG TOC_RELEASE=latest
ARG COMMIT_SHA=unknown

# Force UTF-8 encoding (default is POSIX/ASCII)
ENV LANG C.UTF-8

RUN apt-get update -q && \
    apt-get install -q -y --no-install-recommends \
      ca-certificates curl unzip default-jre-headless && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

如果我试图连接到reportingitc-reporter-sh-mdn.apple.com:443，就会得到以下错误：

# openssl s_client -showcerts -connect reportingitc-reporter-sh-mdn.apple.com:443
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=19:self signed certificate in certificate chain
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 CN = Apple IST CA 2 - G1, OU = Certification Authority, O = Apple Inc., C = US
verify return:1
depth=0 CN = reportingitc-reporter.apple.com, OU = management:idms.group.135879, O = Apple Inc., ST = California, C = US
verify return:1

如果我用ssllabs https://www.ssllabs.com/ssltest/analyze.html?d=reportingitc-reporter-sh-mdn.apple.com验证站点，它会说证书是有效的。

如果我在码头映像ssl证书中手动添加证书，它将停止抱怨：

RUN curl --max-time 300 --retry 5 --retry-delay 1 --retry-max-time 900 --silent -o /usr/local/share/ca-certificates/geotrust.crt https://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.pem
RUN update-ca-certificates

我不明白为什么我突然要这么做，为什么ssllabs不抱怨呢？

Answer 1

即使您已经将CA证书包(ca-certificates)添加到您的码头映像中，但似乎该包中没有包含GeoTrust全局CA根证书。

当您最初运行openssl s_client时，客户端从苹果站点下载证书链，发现最后一个证书是自签名的(出于某种原因，苹果管理员决定将它作为链的一部分)，但是由于它不在它的信任锚存储中，它会向error:num=19:self signed certificate in certificate chain抱怨。

当您在添加根CA证书后运行命令时，从Apple站点下载的链以它现在信任的证书结尾，因此不会有任何抱怨。

至于证书丢失的原因，您需要向向您提供码头形象的人提出这个问题。这是目前的Debian 10.4发行版，也是目前的阿尔卑斯发行版，这两个版本都很受码头的欢迎。正如您所说，它也是SSL实验室所理解的。如果我猜的话，我会说底层的底座码头形象已经很老了。

Answer 2

Debian最近似乎取消了对GeoTrust Global的信任。请参阅http://metadata.ftp-master.debian.org/changelogs/main/c/ca-certificates/unstable_变化量g

我想Docker图片更新到最新的安全更新不会信任该网站。

我的观点是，对此CA的信任被错误地删除了。我已经联系了ca证书包的维护人员来询问这个问题。

相关：https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=962596