Meu FreeBSD 11 dá:
[root@freebsd11 ~]# pkg install perl
Updating FreeBSD repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/meta.txz: Authentication error
repository FreeBSD has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/packagesite.pkg: Authentication error
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/packagesite.txz: Authentication error
Unable to update repository FreeBSD
Error updating repositories!
Acho que isso é causado por um certificado expirado, mas não tenho ideia de como corrigi-lo.
Sim, o certificado DST Root CA X3 usado historicamente pela Let's Encrypt expirou há um ano e meio; consulte https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ e, conforme o link, https://letsencrypt.org/2020/12/21/extending-android-compatibility.html . (Tínhamos cerca de cem Qs em vários Stacks - pelo que me lembro, unix, apple, security, SF, SU, SO e talvez mais - a maioria em uma ou duas semanas, mas alguns permaneceram após 2 ou 3 meses; você estava férias fora do planeta?)
Verifique qual versão do OpenSSL (programa: do
openssl version) e ca_root_nss (pacote) você possui. Se suas CAs raiz forem anteriores a 2017, você provavelmente não possui a raiz ISRG em seu arquivo confiável (provavelmente /usr/local/share/certs/ca-root-nss.crt fornecido pelo pacote) e precisa adicioná-la - provavelmente você precisará fazer o download para um sistema mais novo e depois copiar para o sistema abandonado; ele deve estar no formato PEM, mas se você obtiver o DER, use apenasopenssl x509 -inform der -outform pem <this >thatpara convertê-lo, adicionando opcionalmente-text -fingerprintpara obter o prólogo legível por humanos.Se o seu OpenSSL estiver abaixo de 1.1.0 e você tiver a agora obsoleta raiz DST-X3 no trustfile, o que você quase certamente faz para um sistema construído antes de 2020, você precisa removê-lo (com qualquer editor útil) para evitar o OpenSSL bug mencionado pela página LE.
Como sempre, salve um backup de qualquer arquivo crítico antes de modificá-lo. E assim que seu sistema funcionar, verifique se há uma atualização oficial do ca_root_nss com essas alterações e, se houver, use-a em vez de um patch manual.
Já respondi ao seu problema do GitHub , mas consulte este script para saber como atualizar o arquivo ca-bundle em seu sistema. Este script específico usa o repositório Mozilla CA como fonte e atualiza os seguintes arquivos.
/etc/ssl/cert.pem
/usr/local/openssl/cert.pem
/usr/local/etc/ssl/cert.pem
/usr/local/share/certs/ca-root-nss.crt
Dependendo do que você instalou, você pode ter outros arquivos de pacote em outro lugar em seu sistema de arquivos que também precisam ser atualizados.