Pudiera darse el caso de que encuentres algún fallo en tu código o trabajo, recuerda probar siempre en un entorno de testing antes aplicar el código al proyecto final.
Solución:
Usando openssl s_client -connect thawte.com:443 muestra:
---
Certificate chain
0 s:/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/O=Thawte, Inc./C=US/ST=California/L=Mountain View/businessCategory=Private Organization/serialNumber=3898261/OU=Infrastructure Operations/CN=www.thawte.com
i:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
1 s:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3
---
Esa última “i” muestra la CA raíz autofirmada emisora. Supongo que esa CA raíz de Thawte en particular, _i.e. la CA raíz primaria – certificado G3, no está en su /etc/ssl/certs directorio (como se indica en el curl producción; openssl s_client no tiene una ruta de CA predeterminada y debe proporcionarse una explícitamente, p.ej-CApath /etc/ssl/certs).
Agregar ese certificado explícitamente a su /etc/ssl/certs directorio (y volver a ejecutar c_rehash) ciertamente no haría daño. Y si funciona, p.ej como se verificó usando openssl s_client -connect example.com:443 -CApath /etc/ssl/certsentonces sabes que eso update-ca-certificates El comando puede necesitar algún examen/depuración, en cuanto a por qué no había recogido esta CA raíz.
Ahora, puede ser que la CA raíz anterior ya esté en su /etc/ssl/certs directorio, y los pasos anteriores no surtieron efecto. En ese caso, hay otros dos certificados de CA emisores para verificar (al menos en la cadena de certificados ofrecida por thawte.com:443): thawte CA raíz principal y thawte SSL CA – G2. Repitiendo los pasos anteriores para instalar estos certificados en su /etc/ssl/certs directorio (y volver a ejecutar c_rehash) Podría funcionar. Dado que estas dos son CA intermedias, y no CA raíz, la ausencia de una de ellas explicaría sus resultados y podría esperarse que se pasaran por alto los certificados de update-ca-certificates.
¡Espero que esto ayude!
Comentarios y valoraciones de la guía
Recuerda dar recomendación a esta reseña si te valió la pena.