MailChimpのAPIを使用したSSLエラー

MailChimpと話したところ、彼らがまだ（2016年1月）使用している証明書は、互換性の理由から、GTE Cyber​​Trust Global Root（ GTEはDigicertによって購入されたため、バンドル全体を置き換える必要はありません。この証明書を読み取るには、PHPを追加または強制するだけです：

https://gte-cybertrust-global-root.digicert.com/info/index.html

（Firefoxでロードしようとすると、「安全でない接続」という警告が表示されることに注意してください。明らかな理由で、例外を追加できます。）

それはあなたが必要とするものである標準的な.crtフォーマットです。 証明書形式のガイド

サーバーが何であるかを指定しませんでしたが、バンドル全体を置き換えることなく、Linuxにサーバーを追加する方法は次のとおりです。

Debian/Ubuntuでは、証明書は/etc/ssl/certs/にあります

1. 署名をコピーして、そのディレクトリ内の新しいファイルに貼り付けます。 mailchimp-legacy.crt
2. run Sudo c_rehash /etc/ssl/certs-ここで何が起こっているか：c_rehashは各証明書の短いハッシュを計算し、そこからシンボリックリンクを作成します元の.pemまたは.crtファイル。基本的に、これはopensslのクイックルックアップテーブルです。opensslは、証明書名のデータベースを用意したり、すべてのファイルを順番に開いて適切なファイルを見つけるのではなく、ハッシュも実行してシンボリックリンクを探します。
3. これで動作することを確認してください：ls -lh *.0 | grep 'mailchimp-legacy.crt'

次のようなものが表示されます。

lrwxrwxrwx 1 root root 20 Feb 13 14:17 4d654d1d.0 -> mailchimp-legacy.crt
lrwxrwxrwx 1 root root 20 Feb 13 14:17 c692a373.0 -> mailchimp-legacy.crt

あるいは：Debianには、/etc/ca-certificates.confというファイルもあり、!mozilla/GTE_CyberTrust_Global_Root.crt行の感嘆符はそれを使用しないことを示しています1。その名前の証明書のコピーを/usr/share/ca-certificates/mozillaの下に置いてSudo update-ca-certificatesを実行することは可能だと思いますが、パッケージと構成ファイルが次に更新されるときに再び削除される可能性が高いようです。

使用していた回避策をすべて削除することを忘れないでください-例： -証​​明書ディレクトリ内の古いCAバンドル-PHP）のCURLOPT_CAINFOをオーバーライドする場所-php.iniのopenssl.cainfo行

アプリケーションが正しく機能することを確認してください。 PHPまたは私のウェブサーバーを再起動する必要はありませんでした。変更は即座に行われました。apt-get update/upgradeを使用して最新の証明書パッケージがあることを確認する価値があります。

コマンドラインから特定のサーバーへのSSL接続（および検証）を検証する方法は次のとおりです。

echo GET | openssl s_client -CApath /etc/ssl/certs/ -connect us3.api.mailchimp.com:443 2>&1

監視：（更新）MailChimpのv2.0 API（非推奨）には 'helper/ping' というエンドポイントがありますAPIステータスを示すテキストを返します-APIヘルスの自動テストとして役立ち、証明書がすべてまだ機能していることを示します。 v3.0を使用している場合、実際にデータをチェックする必要がない場合は、 APIルートリソース を使用し、?fields=account_nameを追加することをお勧めします。

誰かがコメントでこれが Heartbleed に関連しているかどうか尋ねました。いいえ。Heartbleedは、RAM内のデータの盗聴に関連するopensslの脆弱性です。 MozillaはGTE Cyber​​Trustを削除しました （2回）彼らが望んでいたので すべての1024ビットルート証明書を削除します -調査によると、国民国家は1024ビットプライムを破る可能性があります。