Se eu tentar acessar nosso servidor HTTPS que possui certificado emitido por certbot do debian 9, recebo o seguinte erro:
# curl -v https://hu.dbpedia.org/
* Trying 195.111.2.82...
* TCP_NODELAY set
* Connected to hu.dbpedia.org (195.111.2.82) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: certificate has expired
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
No entanto, se eu tentar o mesmo comando do debian 10, ele será bem-sucedido.
Eu tentei simplesmente copiar todos os certificados ca de uma VM debian 10 para a VM debian 9 (para /usr/local/share/ca-certificates) com rsync e, em seguida, executei o update-ca-certificates
que aparentemente adicionou mais de 400 certificados. Infelizmente, não ajudou. Isso não é de admirar, pois parece que existem os mesmos certificados no debian 9 e 10, aparentemente.
Minha pergunta é : Como posso acessar sites com certificados certbot de máquinas debian 9 sem ignorar completamente a verificação de certificados