Tema: Ésto da miedín (caducidad PEM de envios)
Ver Mensaje Individual
  #2  
Antiguo 16-11-2025
ermendalenda ermendalenda is offline
Miembro
  
Registrado: ago 2021
Posts: 2.759
Reputación: 7
ermendalenda Va por buen camino
Seguimos con la investigación:
Resulta que curl.exe, puede tener un bundle (certificado) distinto del oficial, por que? por que curl para windows necesita trabajar out-of-the-box (para que el usuario no tenga que descargar actualizaciones por un largo perido).
La recomendación de curl es usar su certificado.
Por ejemplo el certificado que viene en mi instalacion es:
Common Name : GlobalSign Root CA
Organization : GlobalSign nv-sa
Organization Unit : Root CA
Country : BE
Valid From : Sep 01,1998
Valid To : Jan 28,2028
Issuer : GlobalSign nv-sa
Serial Number : 4835703278459707669005204

Como veis con una fecha superior a la del original de curl, que puse en el anterior post.
Y como podeis comprobar la caducidad del vuestro?
pues con un comando de openssl:
openssl x509 cacert.pem -noout -dates
o más bien:
openssl x509 curl-ca-bundle.crt -noout -dates
por que en la carpeta bin de curl, el .pem , se copia con ese nombre:curl-ca-bundle.crt

o aún más facil:
copiais el certificado pem a txt, lo abrís y copiais el contenido en el box de la siguiente web:
https://www.seidonet.com/clientes/ss...cal=es#results


Hay que tener en cuenta que aunque de la página oficial se descargue como cacert.pem en la instalación de curl en la carpeta bin, hay que renombrarla a curl-ca-bundle.crt
Si decidís usar el certificado original, adseguraos de hacer copia del anterior antes de machacarlo, por si hay alguna incompatibilidad con vuestra versión de curl y si os va bien hay que ir revisando periodicamente (lo podeis automatizar), la ultima version del bundle(certificado pem) en:
https://curl.se/ca/cacert.pem
el comando curl para descargarlo automaticamente sería:
curl.exe https://curl.se/ca/cacert.pem -o [pathdestino\cacert.pem]
y despues copiarlo y pegarlo en vuestra carpeta curl/bin como curl-ca-bundle.crt (moviendo por seguridad el anterior antes)

En definitiva, la decision es:
-Tienes un curl auto-actualizable (windows lo actualiza automáticamente), comprueba la caducidad y mira si se actualiza automaticamente antes de esa fecha.
-Tienes un curl instalado y no se actualiza automáticamente: piensa seriamente en lo que he puesto en el post, por que usar la opción -k en las llamadas puede que no sea siempre efectiva, y a la aeat algún día le dé por regularizar ésto.
Última edición por ermendalenda fecha: 16-11-2025 a las 10:23:08.
Responder Con Cita