我正在使用 Axios 发布到远程 API。尽管它已经运行了好几年,但请求突然开始抛出错误“证书已过期” - 尽管证书尚未过期。API 的域有一个有效的 Let's Encrypt 证书,它下一次自动续订还有 2 个月。此外,如果我在不同的操作系统上运行完全相同的代码,它可以工作(我在 Linux 上;如果我将同一个双启动机器重新启动到 Windows ,同一个节点脚本成功地完成了它所有的 Axios 调用)。
为什么Axios会突然开始报告一个过期的证书,而证书还没过期呢?
(注意:我知道我可以强制 Axios 根本不检查证书,但这不是理想的解决方案 - 我想了解它失败的原因并纠正它)。
【问题讨论】:
标签: axios
The DST root formerly used and by default still bridged by LetsEncrypt just expired.
(注释编辑 10/05)
nodejs 应该使用带有“兼容性”链的 LetsEncrypt 证书成功连接到服务器(即,对于旧 Android,即使它已过期,仍然使用到 DST 的桥接)如果
它的信任库(即根列表)中有 ISRG 根证书。默认情况下,nodejs 使用编译的根列表和v8.0.0 up contains the ISRG root。但是,像 axios 这样的应用程序代码可以替换或扩展已编译的列表,在这种情况下,重要的是应用程序使用的版本/内容。
并且 nodejs 使用 OpenSSL 1.1.0 up(我之前认为需要 1.1.1 的想法在更彻底的测试中被证明是错误的)或者 DST 根目录已从信任库中删除(您无法删除它从编译的列表中,但如果你使用替换列表,你可以省略/删除它)。
在 Linux 上,至少是一个带有包管理器的 Linux 发行版,nodejs可能是为使用系统提供的 OpenSSL 而构建的;检查包管理器显示的依赖项,或者ldd $(which node) 是否列出了libssl 和libcrypto 的某些版本(注意不同的系统/打包程序有时会为这些相关的库文件使用版本号,但与,它们包含的 OpenSSL 版本!)。
在 Windows 上,通常不安装 OpenSSL,并且安装时不一定在固定位置,因此通常构建 nodejs 以使用其自己的(静态链接的)OpenSSL。在这种情况下nodejs的版本必须足够新,我不知道映射是什么,但看起来你的已经足够了。
【讨论】:
我的问题是我不小心使用了旧的 Node 版本,切换到最新发布的版本解决了这个问题。
【讨论】: