【問題】
環境: Ubuntu 16.04.7 LTS
でLet's encryptのサイトがcurlできない
openssl s_client -connect <相手先>:443 -servername <相手先> -showcerts -CAfile /etc/ssl/certs/ca-certificates.crt で以下の期限切れエラー CONNECTED(00000003) depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT
【参考】
上記コマンドの説明
openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する – ラボラジアン
■対応について
https://www.walbrix.co.jp/article/openssl-102-letsencrypt-crisis.html
> 2. クライアント側で DST Root CA X3 を信頼済みCA一覧から削除する
【具体的にどうするの?】
以下のようにして無効化して反映した
# バックアップ cp -p /etc/ca-certificates.conf /etc/ca-certificates.conf.bak # /etc/ca-certificates.confでDST_Root_CA_X3.crtを無効化 diff /etc/ca-certificates.conf /etc/ca-certificates.conf.bak < !mozilla/DST_Root_CA_X3.crt --- > mozilla/DST_Root_CA_X3.crt # 反映 update-ca-certificates
→いけた