Криво установленный сертификат HTTPS от 22 февраля 2016

Симптомы: error:0906D066:PEM routines:PEM_read_bio:bad end line

скорее всего цепочка сертификатов склеена без разрыва строк, или нет перевода строки после последнего сертификата в цепочке.

Действительно, был поломанный сертификат. Некоторый http клиенты на него ругались. Исправили. Проверьте, пожалуйста, работает ли у вас.

Пока проблема не исправилась, можно проверить командой curl из командной строки дебиана

curl "https://api.hh.ru/vacancies?text=&area=22&per_page=20&order_by=publication_time" curl: (35) error:0906D066:PEM routines:PEM_read_bio:bad end line

Возможно у вас отсутствует какой-то из промежуточных сертификатов в локальном CA хранилище. У меня нет под рукой debian, но на Ubuntu 12.04/14.04 с последней версией пакета ca-certificates всё работает. ssl верификаторы тоже репортят успешную проверку https://www.ssllabs.com/ssltest/analyze.html?d=api.hh.ru https://www.sslshopper.com/ssl-checker.html#hostname=api.hh.ru

напишите, пожалуйста, вашу версию debian и пакета ca-certificates.

тот же ssllabs предупреждает Certificates provided 3 (3482 bytes) Chain issues: Contains anchor возможно с этим связано, у нас так не заработало, до 22 февраля всё нормально было.

Если бы проблема была в неустановленном сертификате, то ругалось бы на самоподписанный или недоверенный сертификат. что-то с формированием. может не тот сертификат в цепочке?

Я к сожалению не могу получить напрямую доступ к сертфикату, им занимается наша служба эксплуатации. Вчера какие-то из проблем пофиксили.

Напишите, пожалуйста, версию debain, и пакетов:

dpkg -l ca-certificates openssl curl

я в таком случае смогу на своей стороне собрать похожее на ваше окружение и повторить проблему.

"Contains anchor" для сертификата, насколько я понимаю, означает, что в цепочке SSL сертификатов присутсвует root сертификат, что по RFC не обязательно, но возможно.

http://security.stackexchange.com/questions/24561/ssltest-chain-issues-contains-anchor

Ещё, если не сложно, приложите вывод команды

curl -v https://api.hh.ru/ping

Я проверил на debian wheezy в таком окружении работает успешно:

$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 7.9 (wheezy)
Release:    7.9
Codename:   wheezy

$ nslookup api.hh.ru
Server:     10.0.2.3
Address:    10.0.2.3#53

Name:   api.hh.ru
Address: 94.124.200.6

$ dpkg -l ca-certificates openssl curl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name                           Version              Architecture         Description
+++-==============================-====================-====================-=================================================================
ii  ca-certificates                20130119+deb7u1      all                  Common CA certificates
ii  curl                           7.26.0-1+wheezy13    amd64                command line tool for transferring data with URL syntax
ii  openssl                        1.0.1e-2+deb7u17     amd64                Secure Socket Layer (SSL) binary and related cryptographic tools

$ curl -v 'https://api.hh.ru/ping'
* About to connect() to api.hh.ru port 443 (#0)
*   Trying 94.124.200.6...
* connected
* Connected to api.hh.ru (94.124.200.6) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES256-GCM-SHA384
* Server certificate:
*    subject: C=RU; ST=Moscow; L=Moscow; O=OOO HEADHUNTER; OU=IT Department; CN=*.hh.ru
*    start date: 2016-02-22 00:00:00 GMT
*    expire date: 2017-04-22 23:59:59 GMT
*    subjectAltName: api.hh.ru matched
*    issuer: C=US; O=GeoTrust Inc.; CN=GeoTrust SSL CA - G3
*    SSL certificate verify ok.
> GET /ping HTTP/1.1
> User-Agent: curl/7.26.0
> Host: api.hh.ru
> Accept: */*
>
* additional stuff not fine transfer.c:1037: 0 0
* HTTP 1.1 or later with persistent connection, pipelining supported
< HTTP/1.1 200 OK
< Server: nginx/1.8.1
< Date: Tue, 01 Mar 2016 08:29:04 GMT
< Content-Type: application/json; charset=UTF-8
< Content-Length: 16
< Connection: keep-alive
< Keep-Alive: timeout=60
< Access-Control-Expose-Headers: Location, ETag, Date, Expires, Cache-Control, Content-Type, X-Request-ID
< Expires: Tue, 19 Jan 2016 08:29:04 GMT
< Cache-Control: max-age=0, private, must-revalidate
< Access-Control-Allow-Origin: *
< X-Request-ID: 145682094477564d70afaaa6fc4e20df
< X-Frame-Options: SAMEORIGIN
< X-Content-Type-Options: nosniff
<
* Connection #0 to host api.hh.ru left intact
{"ping": "pong"}* Closing connection #0
* SSLv3, TLS alert, Client hello (1):

$ openssl s_client -connect api.hh.ru:443 -CAfile /etc/ssl/certs/ca-certificates.crt
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = GeoTrust Inc., CN = GeoTrust SSL CA - G3
verify return:1
depth=0 C = RU, ST = Moscow, L = Moscow, O = OOO HEADHUNTER, OU = IT Department, CN = *.hh.ru
verify return:1
---
Certificate chain
 0 s:/C=RU/ST=Moscow/L=Moscow/O=OOO HEADHUNTER/OU=IT Department/CN=*.hh.ru
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=RU/ST=Moscow/L=Moscow/O=OOO HEADHUNTER/OU=IT Department/CN=*.hh.ru
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
---
No client certificate CA names sent
---
SSL handshake has read 4163 bytes and written 424 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 1F31256806030F03DE361645E4763622BBACCEE52CC2102C839BEF7598641DC7
    Session-ID-ctx:
    Master-Key: 953D144ADF31AD65F72091FF8844B1464D8BB1AEA8B95DABE5AC9BF32FD8727309DF2ADA17CD20921DB009E08D22BA2C
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 06 37 8f b6 50 66 76 e7-9f 64 79 58 ec a1 17 fa   .7..Pfv..dyX....
    0010 - 47 41 af 56 3b 25 ae e5-18 71 ec df e6 96 16 57   GA.V;%...q.....W
    0020 - af 95 ad 99 1f 44 0e 7e-9b 13 1d 73 3f d6 b4 e2   .....D.~...s?...
    0030 - 3a 7c e1 f4 23 0c 21 7c-3b 61 b3 be c0 6e 15 e9   :|..#.!|;a...n..
    0040 - 8f 91 df 72 a8 15 09 0c-c4 54 b9 ba 35 6c d8 92   ...r.....T..5l..
    0050 - 19 e9 a6 aa dc 67 cf e8-2f c6 b3 22 26 b6 3c 64   .....g../.."&.<d
    0060 - 55 24 dd f9 07 53 f4 fb-2a 29 67 dc d8 a1 8c 76   U$...S..*)g....v
    0070 - 6e 34 dd 89 a2 50 d6 24-30 e5 ff d6 26 2a 75 07   n4...P.$0...&*u.
    0080 - 51 74 03 e1 4d 0e 1e 9c-9c 0a 47 50 bd 32 43 b8   Qt..M.....GP.2C.
    0090 - d7 3f 92 cb 77 66 5f 79-89 f5 2f 1d 26 39 98 25   .?..wf_y../.&9.%
    00a0 - be 45 1b 3f ca b5 7d b8-39 20 10 36 dd f6 71 89   .E.?..}.9 .6..q.

    Start Time: 1456820973
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

root@iprim ~ # lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 7.9 (wheezy)
Release:        7.9
Codename:       wheezy
root@iprim ~ # nslookup api.hh.ru
Server:         213.133.99.99
Address:        213.133.99.99#53

Non-authoritative answer:
Name:   api.hh.ru
Address: 94.124.200.6

root@iprim ~ # dpkg -l ca-certificates openssl curl
Желаемый=неизвестно[u]/установить[i]/удалить[r]/вычистить[p]/зафиксировать[h]
| Состояние=не[n]/установлен[i]/настроен[c]/распакован[U]/частично настроен[F]/
            частично установлен[H]/trig-aWait/Trig-pend
|/ Ошибка?=(нет)/требуется переустановка[R] (верхний регистр
в полях состояния и ошибки указывает на ненормальную ситуацию)
||/ Имя                                                Версия                    Архитектура          Описание
+++-=====================================================-===============================-===============================-===============================================================================================================
ii  ca-certificates                                       20130119+deb7u1                 all                             Common CA certificates
ii  curl                                                  7.26.0-1+wheezy13               amd64                           command line tool for transferring data with URL syntax
ii  openssl                                               1.0.1e-2+deb7u19                amd64                           Secure Socket Layer (SSL) binary and related cryptographic tools
root@iprim ~ # curl -v 'https://api.hh.ru/ping'
* About to connect() to api.hh.ru port 443 (#0)
*   Trying 94.124.200.6...
* connected
* Connected to api.hh.ru (94.124.200.6) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* error:0906D066:PEM routines:PEM_read_bio:bad end line
* Closing connection #0
curl: (35) error:0906D066:PEM routines:PEM_read_bio:bad end line
root@iprim ~ # openssl s_client -connect api.hh.ru:443 -CAfile /etc/ssl/certs/ca-certificates.crt
140681224599208:error:0906D066:PEM routines:PEM_read_bio:bad end line:pem_lib.c:802:
140681224599208:error:0B084009:x509 certificate routines:X509_load_cert_crl_file:PEM lib:by_file.c:280:
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=RU/ST=Moscow/L=Moscow/O=OOO HEADHUNTER/OU=IT Department/CN=*.hh.ru
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIF6zCCBNOgAwIBAgIQOs9OWeonGYFFisZG1Ns0SjANBgkqhkiG9w0BAQsFADBE
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEdMBsGA1UEAxMU
R2VvVHJ1c3QgU1NMIENBIC0gRzMwHhcNMTYwMjIyMDAwMDAwWhcNMTcwNDIyMjM1
OTU5WjByMQswCQYDVQQGEwJSVTEPMA0GA1UECBMGTW9zY293MQ8wDQYDVQQHFAZN
b3Njb3cxFzAVBgNVBAoUDk9PTyBIRUFESFVOVEVSMRYwFAYDVQQLFA1JVCBEZXBh
cnRtZW50MRAwDgYDVQQDFAcqLmhoLnJ1MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEAxL0D6CIU9C3tHQiyidpBSa1NTqk4i2fTcu0QUBjShvwSYOk8I/GM
MFzhPcbhSB6OBEemcZzNjdpPyyFqnAGtxk0f1qfxxeUUQBVigxRxrWd/qHzFFP3h
UEBhTYaCbLAgzptEd9qMmRwRyvySSvvBTTwOlAPTz22wCjYx5WQSjHM65CDlzsiw
3mUmR36tvH1CvwmyQM9pd4pC6XzWNxXNL+q4IDZa6Fvut5oLSG2+Qo5NYtuWvO74
5AkI5iij5Mh4BPUK490jtokciXxyNNF/ZwD5RFtC6RduQ7rEmA4ABBj8V7oWciUS
GUUIypMj5ZMj5bIv38pbmex7rnkXged8nwIDAQABo4ICqTCCAqUwGQYDVR0RBBIw
EIIHKi5oaC5ydYIFaGgucnUwCQYDVR0TBAIwADAOBgNVHQ8BAf8EBAMCBaAwKwYD
VR0fBCQwIjAgoB6gHIYaaHR0cDovL2duLnN5bWNiLmNvbS9nbi5jcmwwgZ0GA1Ud
IASBlTCBkjCBjwYGZ4EMAQICMIGEMD8GCCsGAQUFBwIBFjNodHRwczovL3d3dy5n
ZW90cnVzdC5jb20vcmVzb3VyY2VzL3JlcG9zaXRvcnkvbGVnYWwwQQYIKwYBBQUH
AgIwNQwzaHR0cHM6Ly93d3cuZ2VvdHJ1c3QuY29tL3Jlc291cmNlcy9yZXBvc2l0
b3J5L2xlZ2FsMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAfBgNVHSME
GDAWgBTSb/eW9IU/cjwwfSPahXibo3xafDBXBggrBgEFBQcBAQRLMEkwHwYIKwYB
BQUHMAGGE2h0dHA6Ly9nbi5zeW1jZC5jb20wJgYIKwYBBQUHMAKGGmh0dHA6Ly9n
bi5zeW1jYi5jb20vZ24uY3J0MIIBBQYKKwYBBAHWeQIEAgSB9gSB8wDxAHcA3esd
K3oNT6Ygi4GtgWhwfi6OnQHVXIiNPRHEzbbsvswAAAFTB+KcjwAABAMASDBGAiEA
hysYP00AM0mSYfpeOO5lR44ABfZY4+DpBe8op4EfWAsCIQCPFxxUIBfphFQKYSZp
LcQ2FkJayQYZjlksfvE+tXnEZAB2AKS5CZC0GFgUh7sTosxncAo8NZgE+RvfuON3
zQ7IDdwQAAABUwfinMUAAAQDAEcwRQIgWU9xgfR/gGgxYe389qiEFd66OzoROiBe
/7CmNJ8KpdECIQDXXPp/MpVMA18d4d7MSmvch2nm4dlJ34YKRn+LRmWFmjANBgkq
hkiG9w0BAQsFAAOCAQEA3oQASHaft2+hqqo6qNfP2EZSLq5nbbOsTTn8BEwnk4cO
dH1cvpC6UB8PGZLSOuuRFvnaVdHFXr+mD7MAyEed+c61QiUTxpHNHmtkuDLnEaJX
J5ZgjQ6GJ1nb9rSW7Imbq/fE7EJMfnMa215juuvp94e8xIw+p0ylxH1sLR7RL5aP
VLvYmmr+wJyd2MynrZj8aq5c/30w7yhqHY/6PMxIYnU11vEXw68kQi74oJhqtBi4
Ek57b2B6P1kboAGVP4gkwJ9aZsSob05mec5YXtn+fIIjW/5m9YcLwoJKtYGx5LFK
P8q4+g9eHd4m3Ti3qtYwY7Mi7bZCD8tTtzPVoh0RDQ==
-----END CERTIFICATE-----
subject=/C=RU/ST=Moscow/L=Moscow/O=OOO HEADHUNTER/OU=IT Department/CN=*.hh.ru
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
---
No client certificate CA names sent
---
SSL handshake has read 4163 bytes and written 422 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 38D98ED83795F66A7096C60841BAC2E2FE8776BD2A549223B31DD5A525BC5FBA
    Session-ID-ctx:
    Master-Key: 6CA9386F61B83AABA6FE823EAA93A1EA2BC40C942467BCB53AFF5E2A747108997B44D288F6FA63F1676576386BE953E8
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 06 37 8f b6 50 66 76 e7-9f 64 79 58 ec a1 17 fa   .7..Pfv..dyX....
    0010 - 59 f4 a4 98 d7 1d 86 26-4b 20 7a cf 17 90 fd c2   Y......&K z.....
    0020 - 98 d2 de fc 4b c2 b7 56-8a 4c 06 74 9a 1a 40 db   ....K..V.L.t..@.
    0030 - 28 fa 0b 53 b3 c8 01 4d-dd ca b9 29 fa d0 25 64   (..S...M...)..%d
    0040 - 52 dc 6e 88 47 bd 2d 3b-78 3d 56 82 42 87 80 1a   R.n.G.-;x=V.B...
    0050 - eb c7 6f 3e 0d 5f 74 aa-ca d2 e3 d4 66 b7 e6 8a   ..o>._t.....f...
    0060 - b9 e3 5e 54 81 99 09 1c-1d dd a2 c2 e0 b0 99 0a   ..^T............
    0070 - 02 13 58 d1 40 df 80 1b-21 10 cc 31 09 c9 e1 26   ..X.@...!..1...&
    0080 - 68 ec 99 b9 2b d7 78 bd-5a f2 f1 bd 26 2b e6 56   h...+.x.Z...&+.V
    0090 - 68 2b ea c9 06 9a aa 70-c2 51 be 77 1e 23 b7 f3   h+.....p.Q.w.#..
    00a0 - b5 1e 98 ef 86 b1 5e a8-32 71 1f 31 68 a7 46 ce   ......^.2q.1h.F.

    Start Time: 1456821181
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---

Насколько я могу понять по ошибкам, у вас отсутствует в хранилище корневой сертификат GeoTrust Global CA.

Это можно проверить командой:

awk -v cmd='openssl x509 -noout -subject -fingerprint' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i -B1 'de:28:f4:a4:ff:e5:b9:2f:a3:c5:03:d1:a3:49:a7:f9:96:2a:82:12'

В моём, случае вывелось:

subject= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
SHA1 Fingerprint=DE:28:F4:A4:FF:E5:B9:2F:A3:C5:03:D1:A3:49:A7:F9:96:2A:82:12

Проверьте, что у вас он тоже есть.

Если корневого сертификата нет, вы можете добавить его вручную https://www.geotrust.com/resources/root-certificates/ или обновив системные пакеты и/или перезапустив update-ca-certificates.

Благодарю, проблема решена. Хотя очень странно, что сертификат CA был невалидным, хотя окружение у нас 1 к 1 и версии пакетов одинаковые

Кроме версии пакетов, если ещё конфиги для update-ca-certificates и собственно сам запуск update-ca-certificates для перегенерации файла ca-certificates.crt. видимо в какой-то момент у вас приехала новая версия пакета, но файл не перегенерился.

hhru / api

Криво установленный сертификат HTTPS от 22 февраля 2016 #159