Seltsamer TLS-Fehler bei Verwendung von curl auf dem Ursprungsserver x.509

Seltsamer TLS-Fehler bei Verwendung von curl auf dem Ursprungsserver x.509

Ich hoffe, dass mir jemand erklären kann, was in dieser Situation passiert.

Ab sofort habe ich eine Domain von Google Domains und verwende Cloudflare für meine DNS-Verwaltung. Ich verwende keine TLS/SSL-Funktionen von Cloudflare, das universelle SSL ist deaktiviert und ich übertrage meine DNS-Anfragen auch nicht über einen Proxy. Ich verwende Caddy als Reverse-Proxy auf meinem Server und den integrierten Acme-Client, der Zertifikate von Letsencrypt erhält. Ich erhalte die Zertifikate problemlos und alle meine externen Sites zeigen das verwendete Zertifikat an, das sich auf meinem Server befindet. Wenn ich jedoch einen curlBefehl auf meinem Server über HTTPS ausführe, tritt dieses seltsame Verhalten auf:

Um es genauer zu erklären: Ich versuche, eine Curl-Anfrage an meinen Gotify-Server/meine Gotify-Instanz zu senden. Hier ist die Ausgabe, wenn ich den Gotify-CLI-Befehl verwende, gotify initdann meine Domain mit https:// eingebe und diese Ausgabe erhalte (das passiert bei allen meinen Domains (wenn ich die unten aufgeführten grundlegenden Curl-Befehle nach dem Gotify-Befehl ausführe), aber ich verwende Gotify-CLI nur als Beispiel dafür, woher der Fehler stammt):

x509: certificate is not valid for any names, but wanted to match gotify.mydomain.com

Also führe ich diese Curl-Befehle aus, um herauszufinden, was passiert.

Befehl: curl -v https://gotify.mydomain.com Ausgabe:

* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: self signed certificate
* Closing connection 0
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Mein CApath enthält buchstäblich alle Zertifikate aus dem CA-Certificates-Paket. Und meine externen Sites verwenden mein Zertifikat, aber mein Server hat Probleme und ich weiß nicht, warum.

Wenn ich diesen Befehl ausführe, curl -v --insecure https://gotify.mydomain.comerhalte ich noch seltsamere Ergebnisse: Ausgabe:

* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=CN; ST=TW; L=TB; O=ASKEY; OU=ROUTER; CN=askey.com; [email protected]
*  start date: Jan  8 18:43:23 2022 GMT
*  expire date: Jan  7 18:43:23 2025 GMT
*  issuer: C=CN; ST=TW; L=TB; O=ASKEY; OU=ROUTER; CN=askey.com; [email protected]
*  SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET / HTTP/1.1
> Host: gotify.mydomain.com
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: /1.2.4/login.html
< Content-Length: 0
< Date: Sun, 24 Apr 2022 13:51:04 GMT
< Server: lighttpd/1.4.38
<
* Connection #0 to host gotify.mydomain.com left intact

Ich habe absolut keine Ahnung, woher dieses „Askey“-Zertifikat überhaupt kam. Soweit ich weiß, ist es nirgendwo auf meinem Server zu finden. Ich bin mehr als verwirrt. Ich bin in Taiwan, also könnte der TW-Code ein wenig Sinn ergeben. Ich hatte am 8. Januar nicht einmal Fernzugriff auf meinen Server, also weiß ich nicht, was passiert ist.

Wenn ich das sehe, Location: /1.2.4/login.htmldenke ich, dass mit meinem Router etwas nicht stimmt. Denn das ist der Pfad zur Anmeldeseite meines Router-Administrators.

verwandte Informationen