LINUX.ORG.RU
решено ФорумLinux-install

Calculate linux. Проблема сертификатов, бинхостов и наверное еще кого то.

 ,


0

1

В последнее время посыпались со всех сторон проблемы сертификатов, доступов. Сначала сбербанк, теперь вот до линукса дотянулись.

https://pastebin.com/DY2asz4S

>>> Fetching (9 of 329) x11-libs/pixman-0.42.2::gentoo
--2022-12-04 06:16:06--  https://mirror.truenetwork.ru/calculate/grp/x86_64/x11-libs/pixman/pixman-0.42.2-10.xpak
Resolving mirror.truenetwork.ru (mirror.truenetwork.ru)... 94.247.111.11
Connecting to mirror.truenetwork.ru (mirror.truenetwork.ru)|94.247.111.11|:443... connected.
ERROR: cannot verify mirror.truenetwork.ru's certificate, issued by ‘CN=R3,O=Let's Encrypt,C=US’:
  Unable to locally verify the issuer's authority.
To connect to mirror.truenetwork.ru insecurely, use `--no-check-certificate'.

Вот это он чего? Зачем? На форуме кальки спрашивать бесполезно. Отвечают, что все очевидно. Есть специалисты по особенностям кальки?

★★★★★
Помогите выбрать русский линукс на случай чебурнета
firmware load for iwlwifi
Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от Anoxemian

У меня начинает возникать подозрение, что просто из за длительного аптайма, отягащенного многочисленными обновлениями сбилась какая то автоматика.

18:31:07 up 111 days, 7:17, 11 users, load average: 2.91, 2.50, 2.27

При этом сейчас роутер завис, я его ребутнул, но есть нюанс. Он у меня криво днсы раздает. А точнее они автоматически никогда через него не работали и приходилось каждый раз прописывать их вручную.

Открываю я /etc/resolv.conf, а он не обновился при подключении. Старые прописанные параметры сохранились. А это значит что?

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Он у меня криво днсы раздает. А точнее они автоматически никогда через него не работали

Это значит, что невероятная ширина кривизны рук из жопы наложилась на тотальный свист фляги. Ну серьезно, на кой использовать кальку?

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Ну серьезно, на кой использовать кальку?

Давай без вот этого вот? Без проповедования праведной жизни и расово верных дистрибутивов. У ТС что то сломалось, бывает со всяким дистрибутивом, у меня не сломалось, хотя у меня тоже калька, причём уже больше десятка лет. ТС починит, ты за него не переживай. Исходи из того что если человек что то использует — он знает зачем он это использует. Или это как минимум его дело, что использовать, а не твоё.

Jameson ★★★★★
()
Ответ на: комментарий от LightDiver

18:31:07 up 111 days, 7:17, 11 users, load average: 2.91, 2.50, 2.27

Там baselayout обновлялся как минимум дважды, Оpenrc несколько раз обновлялся. Ты бы взял за правило перезагружаться после апдейтов, это не только при обновлениях ядра стоит делать.

При этом сейчас роутер завис, я его ребутнул, но есть нюанс. Он у меня криво днсы раздает. А точнее они автоматически никогда через него не работали и приходилось каждый раз прописывать их вручную.

Эм... Решить проблему не пробовал?

Открываю я /etc/resolv.conf, а он не обновился при подключении. Старые прописанные параметры сохранились. А это значит что?

Дядя, у тебя сломался автобус...

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Ну, коней придержи, я ничего и не пропагандирую, мало того, третьи сутки помогаю ТС в силу своих соображений, хотя гентуху на дух не переношу. Но, тем не менее, если апстрим в виде генты загибается во все поля, то калька и подавно растеряла свой смысл. Вот и задал вопрос, а у тебя пригорело.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Наверное потому что калька работает лучше всего из испробованных мной дистрибутивов? А как основную ОС я линукс использую с 2006. И ДНСы к кальке никаким образом. Это баг роутера кривого.

Таких проблем за все годы использования с обновлением по крону у меня было штук 5 может. А пользуюсь я ей с 2009. По крону с 2014.

И если это косяк долгого апатайма - это опять же мой косяк, нужно чаще ребутаться. Посмотрим, короче.. Пока лениво перезагружаться.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

апстрим в виде генты загибается во все поля, то калька и подавно растеряла свой смысл. Вот и задал вопрос, а у тебя пригорело.

Это сугубо твоё личное мнение, вызванное опять таки личными пристрастиями и предпочтениями. Я например очень сильно не люблю дебиан, но я стараюсь не оскорблять тех кто его использует. Ты же в том посте, на который у меня «пригорело», во первых оскорбил ТС, назвав его криворуким и безмозглым. А потом завуалированно оскорбил всех пользователей Калькулейт и Генту, предположив что только слабоумные будут использовать Кальку.

Так что я считаю что пригорело у меня совершенно справедливо.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Когда то давным давно еще при переезде из Владивостока на Алтай, зашел я по старой доброй привычке в магазин «ДНС», ну и охренел от качества обслуживания, где на меня всем было положить с прибором, но это полбеды. Для начала мен продали кривой роутер, который тупо не работал. Когда я пришел с ним в тот же день обратно, мне его отказались обменять и криво прошили в сервисном центре какой то странной прошивкой, которая не обновляется и вообще хрен знает откуда взята. Ну, собственно с тех пор с 2013 где то года этот роутер у меня и работает. Со своими нюансами, но работает.

Времени со всем этим разбираться у меня не было, да и ближайший магазин их теперь во многих километрах от меня в городе. Так что на данный момент проблема с ДНСами нерешаема, остается прописывать вручную.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Jameson

Так что я считаю что пригорело у меня совершенно справедливо.

Ну считай, дело твоё.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

У кальки есть множество скажем так киллерфич. Того, что делает все остальные дистрибутивы бессмысленными. Она тупо надежнее для повседневного использования как минимум. У нее отечественные разработчики, до которых худо бедно можно достучаться. Правда в последние годы поддержка вроде как умерла окончательно, но в первые годы использования это было очень удобно и уникально.

Да и сами их утилиты беспрецедентно удобны. Я не думаю что ты найдешь дистрибутив, который может 8 лет подряд обновляться по крону с 5 косяками за все время, 4 из которых в итоге решаются сами все теми же утилитами автоматически.

Да и если мои проблемы реально из за аптайма - это точно не косяк дистрибутива, а мой.

LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 1)
Ответ на: комментарий от LightDiver

И если это косяк долгого апатайма - это опять же мой косяк, нужно чаще ребутаться. Посмотрим, короче.. Пока лениво перезагружаться.

Это он и есть. Ты Кальку как роллинг дистр юзаешь, а с роллингом такое: любишь часто обновляться — люби и ОС перезагружать. Для ускорения этого процесса kexec тебе в помощь.

Хочешь накапливать аптайм — обновляйся с релиза на релиз, перекатами, с образов, благо Калька тебе и такой механизм даёт.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

У меня ноут, я обычно ребутаюсь в двух случаях: 1) Когда отключают свет дольше, чем на 6 часов. 2) Когда ломается что то настолько, что чисто физически нельзя пользоваться больше без ребута..

Пока пущай работает, как ребутнусь, посмотрю что будет.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

Ну при чем тут свист фляги? У меня запущено множество приложений в жестком псевдо-тайлинговом режиме 24/7. Чтобы все это перезапустить, нужно тратить время, усилия. Многое автоматизированно именно под эти окна и тоже работает по крону.

Мне просто лень перезагужаться и потом снова все это запускать. У меня как минимум два окна игры онлайновой запущены и заскриптованны. А там нужно выполнять определенные действия с точностью до секунды. Просто особенности использования, не более.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Чтобы все это перезапустить, нужно тратить время, усилия.

C кривизной тоже угадал)) Тастоящий сварщик все автоматизирует донельзя.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Я автоматизирую все, что могу. Кое что автоматизировать нельзя, потому что зависит не от меня. Падает сервер и все. Тайминги сбиты, их нужно смотреть вручную и исправлять.

И еще.. До кальки я использовал другие дистриюбутивы. АСП, Мандрейк, Мандрива, СУЗА, Дебиан, Убунту, Паппирус, тиникор, Генту. Они все дохли (кроме генту, кстати) рано или поздно.

А до 2014 и калька регулярно дохла от обновлений бывало. То одно упустишь, то другое. С 2014 они запилили автоматизацию обновлений и все косяки подобные закончились, но фобия осталась. Для меня ребут это еще и страх: а вдруг я не загружусь? А у меня тайминги онлайн…

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Я ребутаюсь если обновил ядро, openrc, glibc, baselayout, qt+KDE+xorg (да, тут можно просто перелогиниться, но по затратам времени у меня перезагрузка не особо от перезахода отличается). Вообще не вижу проблемы десктоп ребутнуть, тем более когда он роллингом обновляется.

С серверами друге дело, но для серверов и подход другой, никаких роллингов, плановые обновления с релиза на релиз, с предварительным тестом на development железке. И в промежутках только обновления безопасности, либо вынужденные обновления каких либо компонентов из за требований прикладного софта, с тестированием опять таки.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Да у меня за время аптайма и меса и ядро и иксы пару раз уже точно обновлялись.. И глибц, да. Бывает. Я ж логи одним глазом посматриваю. Работает и пусть работает, пока не критично.

LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 1)
Ответ на: комментарий от LightDiver

У меня запущено множество приложений в жестком псевдо-тайлинговом режиме 24/7. Чтобы все это перезапустить, нужно тратить время, усилия.

Вот этот момент и оптимизируй. У тебя из за «плохого» сценария использования накопились проблемы. Подумай как поменять сценарий, чтобы они не накапливались. Или смирись что с твоим сценарием использования ноута роллинг модель не годится.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Это нерешаемо. Тайминги использования и запуска скриптов зависят не от меня.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Jameson

После обновления glibc ещё было напоминание перезагрузить сервисы или просто перезагрузиться.

grem ★★★★★
()
Ответ на: комментарий от Anoxemian

Ноут, принципиально не ребутаться. Со свистом фляги я походу в точку)))

Да, тут вынужден согласиться. Человек привык массировать гланды через анус, сделал эту привычку своей «особенностью» и адаптировал под эту «особенность» свой организм.

Jameson ★★★★★
()
Ответ на: комментарий от Anoxemian

Я про линукс то узнал где то впервые в 2000-01. Не помню точно. В классе 10 где то одноклассник подогнал фирменные диски с Ред Хат десктоп и книги по ней. Но с ней у меня так ничего и не вышло. Тогда же еще и интернета нормального не было. Что можно по диалапу кривому накачать и узнать? Искали и качали что могли, таскали дисками через весь город. Экспериментировали. Более менее рабочее, чтобы можно было отказаться от винды, смог запилить только к 2006.

А более менее стабильно работающее только к 2009 с приходом на генту. Ну а после генты путь один - на кальку. Это понимаешь только после использования обоих единственной системой для повседневного рутинного использования. Ну, как обычный пользователь, а не как гик для выперндрежа.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

Вот, а начал бы со слаки в далеком 1999-м, сейчас бы фобий не испытывал.

Коллега, с неё же начинал, в 1995 году правда. Неоднократно превращал её в помойку, начал писать к ней самодельную систему портов «как во FreeBSD», но в 2000 Роббинс выкатил Gentoo...

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Это еще и особенности проживания, интернета. 15гб трафика на месяц, а псевдо-безлимит ночью. Вся жизнь на таймингах. Ну вот ребутнусь я, что то отвалится. Нужно будет чинить, это трафик. Нужно будет ждать до ночи.. Это пропуск событий в онлайне. Итд итп.

А ребутаться ночью - это еще хуже, я это время могу потратить на скачивание нужного, пока можно. Просто не надо сравнивать свои задачи с чужими.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Ты описываешь типичные страхи админа ответственного сервера, где каждая перезагрузка приравнивается к «управляемой катастрофе». Ну так и смени философию использования на соответствующую — уходи с роллинга, обновляйся по плану, перекатами, с релиза на релиз, в промежутках обновляй только то что категорически вынужден обновить.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Ну смотри. По роллингу я за 8 лет поимел 5 проблем, из которых 4 решились сами. А с релизами мне придется тратить время, усилия на ручные обновления. Оно мне надо?

И да - еще далеко не факт, что релиз новый будет точно работать.

Я после покупки ноута первые года полтора играл в лотерею - заработает ли новое ядро или нет. Вообще ни один дистрибутив, кроме кальки не работал на этом ноуте. Потому что в грабе у кальки была хитрая опция по видео-драйверам, где можно было указать один, а использовать другой. Потом вроде наладилось и без этого, но релизы всеравно - не гарантия.

LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 2)
Ответ на: комментарий от grem

Именно что. Потому что «вроде всё работает» не всегда показатель. Может работать и мелко непонятно подглючивать одновременно, что мы собственно тут и наблюдаем.

Jameson ★★★★★
()
Ответ на: комментарий от LightDiver

Ну смотри. По роллингу я за 8 лет поимел 5 проблем, из которых 4 решились сами. А с релизами мне придется тратить время, усилия на ручные обновления. Оно мне надо?

Ну смотри. По роллингу ты имеешь проблемы внезапно, судя по тобой написанному это именно то чего ты боишься и пытаешься избежать. А с релизами ты можешь заранее запланировать время обновления, подготовиться к нему, например в виртуалке, сделать полные бэкапы, свечку в церкви поставить во славу Омниссии. То что в Кальке такие «мягкие и приятные» роллинги не означает что они всегда будут таковыми, а главное — смена парадигмы полностью устранит потенциальный риск «внезапного нежданчика».

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Что я наблюдаю в кальке, так это наращивание стабильности с каждым годом. Разработчики не идиоты от слова «совсем» и явно учитывают всякие нюансы и с годами все это автоматизируют. Так что пока все меняется именно в лучшую сторону.

А вот релизное обновление - это: 1) Идти качать релиз. 2) Делать бэкап старого с флэшки или хранить образ старый. 3) Проверять что новый будет работать. 4) Накатывать его вручную. 5) СОФТ добавлять, который тебе нужен нестандартный.

Короче, это несопоставимые траты в сравнении с ролингом. Ролинг незаменим.

Ну вот смотри. На случай нежданчика, у меня ТОЧНО работающий вариант есть на флэшке. С нее я точно загружусь и смогу уже думать как чинить. А использовать релизы - это как добровольно раз в месяц наступать себе на яйца, чтобы не ждать пока тебе в случайное время по ним ударят.

И еще. Релиз - это постоянный риск, что ты в этот релиз уже не сможешь при необходимости добавить оперативно новое приложение или обновить его. Возможно твой релиз уже устарел и нужно обновлять всю систему для этого.

LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 2)
Ответ на: комментарий от Anoxemian

Короче. Теория с перезагрузкой не сработала. Ребутнулся и такое ощущение, что система живет какой то странной своей жизнью.

calculate diver # cl-update
Синхронизация репозиториев
 * Поиск нового сервера обновлений ...                                                                         [ ok ]
 * Проверка обновлений Distros ...                                                                             [ ok ]
 * Проверка обновлений Calculate ...                                                                           [ ok ]
 * Синхронизация Calculate репозитория ...
 * Git завершил работу с ошибкой: fatal: unable to access 'https://github.com/calculatelinux/calculate/': SSL certificate problem: unable to get local issuer certificate  
 * Повторное получение calculate репозитория ...                                                               [ ok ]
 * Синхронизация Calculate репозитория ...
 * Git завершил работу с ошибкой: fatal: unable to access 'https://github.com/calculatelinux/calculate/': SSL certificate problem: unable to get local issuer certificate
 * Не удалось найти сервер бинарных обновлений
 * Не удалось обновить

А ведь вчера еще все обновлялось. Я вообще не понимаю что происходит и как чинить. Хер знает.

Добавлял я сертификаты. И не по разу.

calculate diver # openssl s_client -connect www.youtube.com:443
CONNECTED(00000003)
depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1C3
verify return:1
depth=0 CN = *.google.com
verify return:1
---
Certificate chain
 0 s:CN = *.google.com
   i:C = US, O = Google Trust Services LLC, CN = GTS CA 1C3
 1 s:C = US, O = Google Trust Services LLC, CN = GTS CA 1C3
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
 2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = *.google.com

issuer=C = US, O = Google Trust Services LLC, CN = GTS CA 1C3

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 6748 bytes and written 397 bytes
Verification error: unable to get local issuer certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 20 (unable to get local issuer certificate)
---
LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

215 added, 0 removed; done.

Уфф.. Уже добавил со всяких этих диджиталом по инструкциям 70 новых сертификатов. Какого хера они вообе все по одному, так неудобно скачиваются и их так много? Какой извращенец вообще все это делал? У меня лютое ощущение, что я страдаю херней. Не должно быть так.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

А что чинить то? Вчера я полностью обновился через утилиту, она обновила мне 336 пакетов на гиг. Включая кеды итд итп. Сегодня вон она уже не пашет. Бред какой то.

Мне бы понять что чинить как раз. Для начала.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Git завершил работу с ошибкой: fatal: unable to access ‘https://github.com/calculatelinux/calculate/’: SSL certificate problem: unable to get local issuer certificate

https://www.digicert.com/kb/digicert-root-certificates.htm Дальше знаешь.

Как вообще сбросить все сертификаты на дефолт?

Никак. Сертификат - это результат функции от времени. Нужно просто обновлять из репозитария соответствующий пакет, который мэинтейнится из соображений гуманности к пользователям. Но у тебя не работает (

Anoxemian ★★★★★
()
Ответ на: комментарий от LightDiver

emerge app-misc/ca-certificates ?

equery b /etc/ssl/certs/5931b5bc.0 
 * Searching for /etc/ssl/certs/5931b5bc.0 ... 
app-misc/ca-certificates-20211016.3.83 (/etc/ssl/certs/5931b5bc.0 -> D-TRUST_EV_Root_CA_1_2020.pem)
app-misc/ca-certificates-20211016.3.83 (/usr/share/ca-certificates/mozilla/D-TRUST_EV_Root_CA_1_2020.crt)
Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson 
calculate ca-certificates # equery b /etc/ssl/certs/5931b5bc.0
 * Searching for /etc/ssl/certs/5931b5bc.0 ... 
app-misc/ca-certificates-20211016.3.83 (/etc/ssl/certs/5931b5bc.0 -> D-TRUST_EV_Root_CA_1_2020.pem)


calculate certs # openssl verify D-TRUST_EV_Root_CA_1_2020.pem
unable to load certificate
140431619188544:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE


calculate certs # openssl verify ca-certificates.crt
ca-certificates.crt: OK
LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 1)
Ответ на: комментарий от LightDiver

Кстати, сдуй из репы убунты последней пакет ca-certifiactes и просто распакуй их себе целиком. Забекапить не забудь все и вся.

UPD. Вот ссылка http://security.ubuntu.com/ubuntu/pool/main/c/ca-certificates/ca-certificates_20211016ubuntu0.22.04.1_all.deb

Anoxemian ★★★★★
()
Последнее исправление: Anoxemian (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

Так у меня этого вообще нету.

calculate certs # ls |grep D-TRUST_EV_Root_CA_1_2020
D-TRUST_EV_Root_CA_1_2020.pem

А в генте их в принципе быть не должно по идее. Что сравнивать то?

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

Похоже что у тебя сломался openssl.

Выясняем версию установленного openssl

# eix dev-libs/openssl
[I] dev-libs/openssl
     Доступные версии:      [M]1.0.2u-r1^td 1.1.1q(0/1.1)^t ~1.1.1s(0/1.1)^t [M]~3.0.7(0/3)^t {+asm bindist fips gmp kerberos ktls rfc3779 sctp sslv2 (+)sslv3 static-libs test tls-compression (+)tls-heartbeat vanilla verify-sig weak-ssl-ciphers ABI_MIPS="n32 n64 o32" ABI_S390="32 64" ABI_X86="32 64 x32" CPU_FLAGS_X86="sse2"}
     Установленные версии:  1.1.1q(0/1.1)^t(02:53:29 20.07.2022)(asm -rfc3779 -sctp -sslv3 -static-libs -test -tls-compression -tls-heartbeat -vanilla -verify-sig -weak-ssl-ciphers ABI_MIPS="-n32 -n64 -o32" ABI_S390="-32 -64" ABI_X86="32 64 -x32" CPU_FLAGS_X86="sse2")
     Домашняя страница:     https://www.openssl.org/
     Описание:              Robust, full-featured Open Source Toolkit for the Transport Layer Security (TLS)

У меня это dev-libs/openssl-1.1.1q

Смотрим дерево зависимостей

# equery g dev-libs/openssl-1.1.1q
 * Searching for openssl1.1.1q in dev-libs ...

 * dependency graph for dev-libs/openssl-1.1.1q
 `--  dev-libs/openssl-1.1.1q  amd64 
   `--  app-misc/c_rehash-1.7-r1  (>=app-misc/c_rehash-1.7-r1) amd64 
   `--  sys-libs/zlib-1.2.13-r1  (>=sys-libs/zlib-1.2.8-r1) amd64  [static-libs(+)? abi_x86_32(-)? abi_x86_64(-)? abi_x86_x32(-)? abi_mips_n32(-)? abi_mips_n64(-)? abi_mips_o32(-)? abi_s390_32(-)? abi_s390_64(-)?]
   `--  app-misc/ca-certificates-20211016.3.83  (app-misc/ca-certificates) amd64 
   `--  dev-lang/perl-5.34.1-r4  (>=dev-lang/perl-5) amd64 
   `--  net-misc/lksctp-tools-1.0.19-r1  (>=net-misc/lksctp-tools-1.0.12) amd64 
   `--  sys-apps/diffutils-3.8  (sys-apps/diffutils) amd64 
   `--  sys-devel/bc-1.07.1-r5  (sys-devel/bc) amd64 
   `--  sys-process/procps-3.3.17-r1  (sys-process/procps) amd64 
   `--  sec-keys/openpgp-keys-openssl-20220316-r1  (sec-keys/openpgp-keys-openssl) amd64 
   `--  app-crypt/gnupg-2.2.40  (app-crypt/gnupg) amd64 
   `--  app-portage/gemato-16.2  (>=app-portage/gemato-16) amd64 
[ dev-libs/openssl-1.1.1q stats: packages (12), max depth (1) ]

Дальше переустанавливаем openssl с ключом --oneshot, так как мы не хотим засрать world ненужными там пакетами. Если не попустило — переустанавливаем всё от чего пакет зависит.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson 
[I] dev-libs/openssl
     Доступные версии:      [M]1.0.2u-r1^td 1.1.1q(0/1.1)^t{tbz2} ~1.1.1s(0/1.1)^t [M]~3.0.7(0/3)^t {+asm bindist fips gmp kerberos ktls rfc3779 sctp sslv2 (+)sslv3 static-libs test tls-compression (+)tls-heartbeat vanilla verify-sig weak-ssl-ciphers ABI_MIPS="n32 n64 o32" ABI_S390="32 64" ABI_X86="32 64 x32" CPU_FLAGS_X86="sse2"}
     Установленные версии:  1.1.1q(0/1.1)^t{tbz2}(02:45:41 18.07.2022)(asm -rfc3779 -sctp -sslv3 -static-libs -test -tls-compression -tls-heartbeat -vanilla -verify-sig -weak-ssl-ciphers ABI_MIPS="-n32 -n64 -o32" ABI_S390="-32 -64" ABI_X86="32 64 -x32" CPU_FLAGS_X86="sse2")


calculate certs # equery g dev-libs/openssl-1.1.1q
 * Searching for openssl1.1.1q in dev-libs ...

 * dependency graph for dev-libs/openssl-1.1.1q
 `--  dev-libs/openssl-1.1.1q  amd64 
   `--  app-misc/c_rehash-1.7-r1  (>=app-misc/c_rehash-1.7-r1) amd64 
   `--  sys-libs/zlib-1.2.13-r1  (>=sys-libs/zlib-1.2.8-r1) amd64  [static-libs(+)? abi_x86_32(-)? abi_x86_64(-)? abi_x86_x32(-)? abi_mips_n32(-)? abi_mips_n64(-)? abi_mips_o32(-)? abi_s390_32(-)? abi_s390_64(-)?]
   `--  app-misc/ca-certificates-20211016.3.83  (app-misc/ca-certificates) amd64 
   `--  dev-lang/perl-5.34.1-r4  (>=dev-lang/perl-5) amd64 
   `--  net-misc/lksctp-tools-1.0.19-r1  (>=net-misc/lksctp-tools-1.0.12) amd64 
   `--  sys-apps/diffutils-3.8  (sys-apps/diffutils) amd64 
   `--  sys-devel/bc-1.07.1-r5  (sys-devel/bc) amd64 
   `--  sys-process/procps-3.3.17-r1  (sys-process/procps) amd64 
   `--  sec-keys/openpgp-keys-openssl-20220316-r1  (sec-keys/openpgp-keys-openssl) amd64 
   `--  app-crypt/gnupg-2.2.40  (app-crypt/gnupg) amd64 
   `--  app-portage/gemato-16.2  (>=app-portage/gemato-16) amd64 
[ dev-libs/openssl-1.1.1q stats: packages (12), max depth (1) ]
calculate certs #

Кажись все идентично, ибо обнвлено то было вчера.. Уф. Ладно переставляю.

LightDiver ★★★★★
() автор топика
Последнее исправление: LightDiver (всего исправлений: 1)
Ответ на: комментарий от LightDiver

Да забекапь ты уже /etc/ssl и то куда там симлинки ведут, снеси там всё и поставь app-misc/ca-certificates не поверх, а «в чистую». Я не знаю что и как ты там поломал в сертификатах, но очевидно что поломал. Снеси всё и поставь по новой.

Jameson ★★★★★
()
Ответ на: комментарий от LightDiver

Только с --oneshot ставь, не нужно в world всем этим гадить. Оно и так по идее по зависимостям всё приезжает.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Да ты гений. Ты хренов гений.

Я переименовал /etc/ssl/ и /usr/share/ca-certificates/mozilla/

Снес и установил заново app-misc/ca-certificates

Сделал вот так:

calculate ca-certificates # update-ca-certificates --fresh
Clearing symlinks in /etc/ssl/certs...
done.
Updating certificates in /etc/ssl/certs...
WARNING: BaltimoreCyberTrustRoot.pem does not contain a certificate or CRL: skipping
WARNING: clientauthroote45.pem does not contain a certificate or CRL: skipping
WARNING: clientauthrootr45.pem does not contain a certificate or CRL: skipping
WARNING: codesigningroote45.pem does not contain a certificate or CRL: skipping
WARNING: codesigningrootr45.pem does not contain a certificate or CRL: skipping
WARNING: CybertrustGlobalRoot.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertAssuredIDRootCA.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertAssuredIDRootG2.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertAssuredIDRootG3.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertClientECCP384RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertClientRSA4096RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertCSECCP384RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertCSRSA4096RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertECCP384RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertFederatedIDRootCA.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CodeSigningECCP256SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CodeSigningECCP384SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CodeSigningRSA4096SHA2562022CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CodeSigningRSA4096SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CSECCSHA3842021CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5CSRSA4096SHA3842021CA1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5ECCSHA3842021CA1-1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5RSA4096SHA3842021CA1-1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5TLSECCSHA3842021CA1-1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertG5TLSRSA4096SHA3842021CA1-1.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertGlobalRootCA.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertGlobalRootG2.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertGlobalRootG3.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertHighAssuranceEVRootCA.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertPrivateServicesRoot.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertRSA4096RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertSMIMEECCP384RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertSMIMERSA4096RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertTLSECCP384RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertTLSRSA4096RootG5.pem does not contain a certificate or CRL: skipping
WARNING: DigiCertTrustedRootG4.pem does not contain a certificate or CRL: skipping
WARNING: docsignroote45.pem does not contain a certificate or CRL: skipping
WARNING: docsignrootr45.pem does not contain a certificate or CRL: skipping
WARNING: GeoTrustG5TLSECP-384SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: GeoTrustG5TLSRSA4096SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: GeoTrustPCA-G2.pem does not contain a certificate or CRL: skipping
WARNING: GeoTrustPCA-G3.pem does not contain a certificate or CRL: skipping
WARNING: GeoTrustPCA.pem does not contain a certificate or CRL: skipping
WARNING: GTECyberTrustGlobalRoot.pem does not contain a certificate or CRL: skipping
WARNING: iotroote60.pem does not contain a certificate or CRL: skipping
WARNING: iotrootr60.pem does not contain a certificate or CRL: skipping
WARNING: pca3-g3.pem does not contain a certificate or CRL: skipping
WARNING: pca3-g4.pem does not contain a certificate or CRL: skipping
WARNING: pca3-g5.pem does not contain a certificate or CRL: skipping
WARNING: pca3-g6.pem does not contain a certificate or CRL: skipping
WARNING: RapidSSLG5TLSECCP-384SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: RapidSSLG5TLSRSA4096SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: roote46.pem does not contain a certificate or CRL: skipping
WARNING: Root-R1.pem does not contain a certificate or CRL: skipping
WARNING: Root-R3.pem does not contain a certificate or CRL: skipping
WARNING: rootr46.pem does not contain a certificate or CRL: skipping
WARNING: Root-R5.pem does not contain a certificate or CRL: skipping
WARNING: root-r6.pem does not contain a certificate or CRL: skipping
WARNING: russian_trusted_root_ca.pem does not contain a certificate or CRL: skipping
WARNING: smimeroote45.pem does not contain a certificate or CRL: skipping
WARNING: smimerootr45.pem does not contain a certificate or CRL: skipping
WARNING: symc-pca3-g4.pem does not contain a certificate or CRL: skipping
WARNING: ThawteG5TLSECCP-384SHA3842022CA2.pem does not contain a certificate or CRL: skipping
WARNING: ThawteG5TLSRSA4096SHA3842022CA1.pem does not contain a certificate or CRL: skipping
WARNING: ThawtePCA-G2.pem does not contain a certificate or CRL: skipping
WARNING: ThawtePCA-G3.pem does not contain a certificate or CRL: skipping
WARNING: ThawtePCA.pem does not contain a certificate or CRL: skipping
WARNING: timestamproote46.pem does not contain a certificate or CRL: skipping
WARNING: timestamprootr45.pem does not contain a certificate or CRL: skipping
WARNING: universal-root.pem does not contain a certificate or CRL: skipping
WARNING: VerizonGlobalRootCA.pem does not contain a certificate or CRL: skipping
215 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
p11-kit: couldn't create file: /etc/ssl/certs/java/cacerts: Unknown error 2
E: /etc/ca-certificates/update.d/java-cacerts exited with code 1.
done.

Кстати, заметь, я забыл убрать весь тот гребаный мусор, что накопировал за последние дни. Он их добавил, но ругнулся на чтото.

И ЗАРАБОТАЛО! Реально заработало.

А теперь внимание, вопрос. Добавление сертификата от сбербанка не могло на все это повлиять никак?

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

Походу помог снос всей этой срани и переустановка с перегенерацией дефолта от утилиты. Я об этом кстати думал вон выше уже.

Понять бы теперь что именно было сломано. Но это уже не так важно.

LightDiver ★★★★★
() автор топика
Ответ на: комментарий от LightDiver

И Jameson особенно тоже спасибо!

Да не за что. Обращайся.

Jameson ★★★★★
()
Ответ на: комментарий от Anoxemian

Весьма интересные последствия починки. Торренты стали качаться в 5 раз быстрее. Скорость перестала скакать и теперь не 0,6-1 мегабайт в секунду, а 2,5-4. Интересно даже -это от починки именно или провайдер чтото там мутит.

LightDiver ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Помогите выбрать русский линукс на случай чебурнета
Linux-install
firmware load for iwlwifi