如果我去这个urlhttps://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg去寻找SSL证书,那么我看到一个有效的(通配符)证书为我们的域名pse.de
如果我访问这个URL https://85.214.107.230/img/common/globe.png (相同的IP),那么浏览器会抱怨:a)证书已过期,b)它是自签名的。 没关系,那就是pleskpipe理员站点的证书,但是我们的pipe理员无论如何都使用这个站点。
如果我curl这些文件curl发生这种情况:
$ curl https://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg > /dev/null % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 90217 100 90217 0 0 16960 0 0:00:05 0:00:05 --:--:-- 319k $ curl https://85.214.107.230/img/common/globe.png > /dev/null % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html ....
如预期的那样, curl对第一张证书感到满意,并抱怨第二张证书。
但是,当我做同样的wget :
$ wget https://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg -O /dev/null --2014-08-13 15:20:44-- https://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg Resolving solarpaces2014.pse.de... 85.214.107.230 Connecting to solarpaces2014.pse.de|85.214.107.230|:443... connected. ERROR: cannot verify solarpaces2014.pse.de's certificate, issued by “/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels Panel/CN=Parallels Panel/[email protected]”: Self-signed certificate encountered. ERROR: certificate common name “Parallels Panel” doesn't match requested host name “solarpaces2014.pse.de”. To connect to solarpaces2014.pse.de insecurely, use '--no-check-certificate'.
为什么wget提取错误的证书? 这是一个wget问题,或者我们的apacheconfiguration有问题吗?
快速search显示,在wget版本1.14中引入了对您所需要的TLS服务器名称指示( SNI )的支持。
Curl包括SNI支持相当早。
例如RHEL / CentOS 6包括wget版本1.12和Debian wheezy 1.13,所以我期望他们不支持SNI。