I cannot curl https://example.com (on some distros)
3 months ago
- #SSL
- #NixOS
- #Cloudflare
- 在NixOS系统上尝试curl访问https://example.com时遇到SSL证书问题,报错'certificate rejected'。
- 调查发现该证书链链接到已弃用的根证书机构'AAA Certificate Services',浏览器可以绕过但OpenSSL会拒绝。
- 不同Linux发行版处理该证书链的方式不同,Debian系统正常而Arch Linux和NixOS会失败。
- NixOS特别将'AAA Certificate Services'标记为不信任服务器认证,仅允许其用于邮件保护场景。
- 建议Cloudflare或用户应更新证书链,以避免与遵循更新策略的新系统产生兼容性问题。