SSL_connect повернуто = 1 errno = 0 стан = SSLv3 зчитований сертифікат сервера B: перевірка сертифіката не виконана

Я використовую Authlogic-Connect для входу сторонніх сторін. Після проведення відповідних міграцій вхід у систему Twitter / Google / yahoo, здається, працює нормально, але вхід у facebook видає виняток:

SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

Журнал розробок показує

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):
  app/controllers/users_controller.rb:37:in `update'

Будь ласка, підкажіть ..

Я зіткнувся з подібною проблемою при спробі використовувати генератор JQuery для Rails 3

Я вирішив це так:

1. Отримайте пакет CURL Certificate Authority (CA). Це можна зробити за допомогою:

   • sudo port install curl-ca-bundle [якщо ви використовуєте MacPorts]
   • або просто тягніть його прямо вниз wget http://curl.haxx.se/ca/cacert.pem

2. Виконати код рубін , який намагається перевірити сертифікат SSL: SSL_CERT_FILE=/opt/local/etc/certs/cacert.pem rails generate jquery:install. У вашому випадку ви хочете встановити це як змінну середовища десь, коли сервер його підбирає, або додати щось на зразок ENV['SSL_CERT_FILE'] = /path/to/your/new/cacert.pemу файл Environment.rb.

Ви також можете просто встановити файли CA (я не пробував) в ОС - є довгі інструкції тут - це повинно працювати так само, але я не пробував це особисто.

По суті, проблема, з якою ви стикаєтеся, полягає в тому, що деякі веб-служби відповідають сертифікатом, підписаним проти CA, який OpenSSL не може перевірити.

Якщо ви використовуєте RVM в OS X, вам, ймовірно, потрібно запустити це:

rvm osx-ssl-certs update all

Більше інформації тут: http://rvm.io/support/fixing-broken-ssl-certificate

І ось повне пояснення: https://github.com/wayneeseguin/rvm/blob/master/help/osx-ssl-certs.md

Оновлення

На Ruby 2.2, можливо, доведеться перевстановити Ruby з джерела, щоб виправити це. Ось як (замінити 2.2.3на свою версію Ruby):

rvm reinstall 2.2.3 --disable-binary

Заслуга https://stackoverflow.com/a/32363597/4353 та Ian Connor .

Ось як це можна виправити в Windows: https://gist.github.com/867550 (створено Fletcher Nichol)

Витяг:

Ручний шлях (нудно)

Завантажте cacert.pemфайл з http://curl.haxx.se/ca/cacert.pem . Збережіть цей файл у C:\RailsInstaller\cacert.pem.

Тепер повідомте рубіну про комплект ваших сертифікатних сертифікатів, встановивши SSL_CERT_FILE. Щоб встановити це в поточному сеансі командного рядка, введіть:

set SSL_CERT_FILE=C:\RailsInstaller\cacert.pem

Щоб зробити це постійним налаштуванням, додайте це на панелі керування .

Ruby не може знайти жодних кореневих сертифікатів, яким слід довіряти.

Подивіться на це повідомлення в блозі, щоб знайти рішення: " Ruby 1.9 та помилка SSL ".

Рішення полягає в встановленні curl-ca-bundleпорту, який містить ті ж кореневі сертифікати, які використовує Firefox:

sudo port install curl-ca-bundle

і скажіть вашому httpsоб'єкту використовувати його:

https.ca_file = '/opt/local/share/curl/curl-ca-bundle.crt'

Зауважте, що якщо ви хочете, щоб ваш код запускався на Ubuntu, вам потрібно встановити ca_pathатрибут замість місця розташування сертифікатів за замовчуванням /etc/ssl/certs.

Причиною отримання цієї помилки в OSX є встановлений rvm рубін.

Якщо ви зіткнулися з цією проблемою на OSX, ви можете знайти справді широке пояснення цього питання у цій публікації блогу:

http://toadle.me/2015/04/16/fixing-failing-ssl-verification-with-rvm.html

Коротка версія полягає в тому, що для деяких версій Ruby RVM завантажує попередньо складені бінарні файли, які шукають сертифікати в неправильному місці. Примушуючи RVM завантажувати джерело та компілювати на власній машині, ви гарантуєте, що конфігурація для місця розташування сертифіката правильна.

Команда зробити це:

rvm install 2.2.0 --disable-binary

якщо у вас вже є відповідна версія, ви можете встановити її заново:

rvm reinstall 2.2.0 --disable-binary

(очевидно, замініть свою рубінову версію за потребою).

Проблема полягає в тому, що в рубіні не можна знайти кореневого сертифіката, якому слід довіряти. Станом на 1,9 рубіну це перевіряє. Вам потрібно буде переконатися, що у вас є сертифікат curl у вашій системі у вигляді файлу pem. Вам також потрібно буде переконатися, що сертифікат знаходиться в тому місці, в якому рубін очікує його. Ви можете отримати цей сертифікат на ...

http://curl.haxx.se/ca/cacert.pem

Якщо ви користуєтеся користувачем RVM та OSX, розташування вашого файла сертифікатів буде залежати від того, яку версію ruby ​​ви використовуєте. Встановлення шляху явно за допомогою: ca_path - це BAD ідея, оскільки ваш код не буде переносним, коли він потрапить до виробництва. Там ви хочете надати рубіну сертифікат у місці за замовчуванням (і припустимо, що ваші розробники знають, що вони роблять). Ви можете використовувати dtruss, щоб визначити, де система шукає файл сертифіката.

У моєму випадку система шукала файл cert

/Users/stewart.matheson/.rvm/usr/ssl/cert.pem

проте система MACOSX очікує отримання сертифіката в

/System/Library/OpenSSL/cert.pem

Я скопіював завантажений cert на цей шлях, і він спрацював. HTH

Нова сертифікована дорогоцінна камінь призначена для виправлення цього:

https://github.com/stevegraham/certified

Просто додайте gem "сертифікований" у свій gemfile та запустіть пакет встановлення.

1. дорогоцінний камінь ' сертифікований '
2. встановити пакет

На Mac OS X Lion з найновішим макроконтролем:

sudo port install curl-ca-bundle  
export SSL_CERT_FILE=/opt/local/share/curl/curl-ca-bundle.crt  

Потім заново пройдіть невдалу роботу.

Зауважте, схоже, що файл файлу cert змінився після того, як Ерік Г відповів 12 травня.

Один лайнер виправляє його для Windows у вікні адміністратора

choco install wget(вперше див. chocolatey.org )

wget http://curl.haxx.se/ca/cacert.pem -O C:\cacert.pem && setx /M SSL_CERT_FILE "C:\cacert.pem"

Або просто так:

gem sources -r https://rubygems.org/
gem sources -a http://rubygems.org/

Метод Міланіо:

gem sources -r https://rubygems.org
gem sources -a http://rubygems.org 
gem update --system
gem sources -r http://rubygems.org
gem sources -a https://rubygems.org

gem install [NAME_OF_GEM]

Ну це працювало для мене

rvm pkg install openssl
rvm reinstall 1.9.2 --with-openssl-dir=$rvm_path/usr

Щось не так із реалізацією openssl мого ubuntu 12.04

Хоча я знаю, що це досить кульгаве рішення, я все ще ділюсь цим, оскільки, здається, дуже мало людей, які відповідають тут, використовують Windows , і я думаю, що деякі користувачі Windows (включаючи мене) оцінять простий та інтуїтивний підхід.

require 'openssl'
puts OpenSSL::X509::DEFAULT_CERT_FILE

Це говорить про те, де ваш openssl шукає файл cert. Мене звати не Луїс, але моє було C:/Users/Luis/Code/luislavena/knap-build/var/knapsack/software/x86-windows/openssl/1.0.0l/ssl/cert.pem. Шлях може бути різним залежно від кожного власного середовища (наприклад, openknapsackзамість нього luislavena).

Шлях не змінився навіть після того, як set SSL_CERT_FILE=C:\foo\bar\baz\cert.pemчерез консоль, так що ... я створив каталог C:\Users\Luis\Code\luislavena\knap-build\var\knapsack\software\x86-windows\openssl\1.0.0l\ssl на своєму локальному диску і вклав у нього файл cert.

Клятий, як є, це неодмінно спрацює.

Я намагаюся встановити curl-ca-bundleз brew, але пакет не доступний більше:

$ brew install curl-ca-bundle
Error: No available formula for curl-ca-bundle 
Searching formulae...
Searching taps...

Рішення, яке працювало мені на Mac:

 $ cd /usr/local/etc/openssl/certs/
 $ sudo curl -O http://curl.haxx.se/ca/cacert.pem

Додайте цей рядок у свій ~/.bash_profile(або ~/.zshrcдля zsh):

export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem

Потім оновіть свій термінал:

$ source ~/.bash_profile

Ось ще один варіант для налагодження.

Будьте впевнені, що ніколи не використовуйте це в будь-якому виробничому середовищі, оскільки це в першу чергу знизить переваги використання SSL Це робиться лише колись у вашому місцевому середовищі розвитку.

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

У мене був цей самий випуск під час роботи над проектом Ruby. Я використовую Windows 7 64bit.

Я вирішив це шляхом:

1. Завантаження файлу cacert.pem з http://curl.haxx.se/ca/cacert.pem .
2. Цей файл збережено в C: /RubyCertificate/cacert.pem
3. Потім встановіть мій екологічну змінну "SSL_CERT_FILE" на "C: \ RubyCertificate \ cacert.pem"

джерело: https://gist.github.com/fnichol/867550

Найпростіша відповідь, яка працювала для мене, була така

sudo apt-get install openssl ca-certificates

І вуаля !!!

OS X 10.8.x з домашньою мовою:

brew install curl-ca-bundle
brew list curl-ca-bundle
cp /usr/local/Cellar/curl-ca-bundle/1.87/share/ca-bundle.crt /usr/local/etc/openssl/cert.pem

Потім, як підказує ця публікація в блозі,

" Як вилікувати мережу :: ризикована поведінка HTTPS за замовчуванням HTTP "

ви можете встановити always_verify_ssl_certificatesдорогоцінний камінь, що дозволяє встановити значення за замовчуванням ca_file.

Це працювало для мене. Якщо ви використовуєте rvm та варити:

rvm remove 1.9.3
brew install openssl
rvm install 1.9.3 --with-openssl-dir=`brew --prefix openssl`

Я зіткнувся з цим питанням, і запропоноване виправлення rvm osx-ssl-certs update allне спрацювало, незважаючи на те, що я користувач RVM ​​на OSX.

Виправлення, яке працювало для мене, було перевстановлення останньої версії openssl:

brew update
brew remove openssl
brew install openssl

Я вирішив цю проблему, запустивши її в терміналі. Повний запис доступний тут

rvm install 2.2.0 --disable-binary

Рішення OSX:

встановити останню стабільну версію rvm

rvm get stable

використовуйте команду rvm для автоматичного вирішення сертифікатів

rvm osx-ssl-certs update all

Якщо ви користуєтесь додатком для рейкових систем локально, просто додайте цей рядок у нижній частині application.rb.

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Після цього ви можете користуватися додатком без проблем. Ви можете назвати це злом, але це не рекомендується. Використовуйте лише тоді, коли вам потрібно працювати локально

Ось, що я зробив, що допомогло, якщо у вас є конкретні проблеми з Leopard.

Мій серт був старий і його потрібно було оновити. Я завантажив це:

http://curl.haxx.se/ca/cacert.pem

Потім замінив мій серт, який був знайдений тут, на Леопарді:

/usr/share/curl/curl-ca-bundle.crt

Перезавантажте все, що у вас є, що маєте доступ до нього, і вам слід бути гарним!

Просто тому, що інструкції трохи відрізнялися від того, що працювало на мене, я думав, що я додаю свої 2 центи:

Я перебуваю на OS X Lion і використовую macports та rvm

Я встановив curl-ca-bundle:

sudo port install curl-ca-bundle

Тоді я скоригував конфігурацію всезнаючого так:

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :google_oauth2, APP_CONFIG['CONSUMER_KEY'], APP_CONFIG['CONSUMER_SECRET'],
           :scope => 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.profile',
           :ssl => {:ca_path => "/share/curl/curl-ca-bundle.crt"}
end

Якщо у вас є символьне посилання у / usr / local / etc / openssl, що вказує на cert.pem, спробуйте це зробити:

ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" (should be /usr/local/etc/openssl)
cd /usr/local/etc/openssl
wget http://curl.haxx.se/ca/cacert.pem
ln -s cacert.pem 77ee3751.0 (77ee3751.0 is my symbolic link, should depend on the openssl version)

Що для мене спрацювало - це поєднання відповідей, а саме:

# Reinstall OpenSSL
brew update
brew remove openssl
brew install openssl
# Download CURL CA bundle
cd /usr/local/etc/openssl/certs
wget http://curl.haxx.se/ca/cacert.pem
/usr/local/opt/openssl/bin/c_rehash
# Reinstall Ruby from source
rvm reinstall 2.2.3 --disable-binary

У мене були проблеми протягом декількох днів і хапали. Це посилання виявилося для мене надзвичайно корисним. Це допомогло мені зробити успішне оновлення SSL на MAC OS X 9.

Іноді це не завжди проблема rvm у MAC OSX, якщо ви видалите .rvm, проблему все-таки (особливо під час резервного копіювання даних з timemachine), ви можете спробувати таким чином.

1.brew update
2.brew install openssl

Додавання gem 'certified', '~> 1.0'до мого Gemfileта запуску bundleвирішило для мене це питання.