Маркетплейс, curl, firewall, корневой сертификат

gav703 · April 7, 2026, 11:04am

Добрый день. Свежая тестовая установка mikopbx. Выход в интернет только через корпоративный firewall с расшифровкой ssl (подмена сертификата). При переходе в маркетплейс модулей надпись “Нет доступных для установки модулей”. В системном логе ошибки
“7 13:56:17 daemon.warning php.backend[10326]: cURL error 60: SSL certificate problem: self signed certificate in certificate chain (see libcurl - Error Codes) for https://releases.mikopbx.com/releases/v1/mikopbx/getAvailableModules on MikoPBX\PBXCoreREST\Lib\Modules\GetAvailableModulesAction”.

Подскажите пожалуйста,
можно ли как-то отключить проверку сертификата,
или как-то установить сертификат как корневой?

Спасибо.

boffart · April 7, 2026, 11:29am

какая версия MikoPBX?

gav703 · April 7, 2026, 11:34am

версия 2024.1.114

boffart · April 7, 2026, 12:18pm

установите актуальную 2026.1.223

gav703 · April 7, 2026, 12:21pm

спасибо. попробую - отпишусь.
получается на Скачать и установить бесплатную АТС MikoPBX неактуальные версии…

gav703 · April 7, 2026, 1:30pm

на версии 2026.1.223 ошибка другая (но причина та же - подмена сертификата корпоративным фаерволом):

2026-04-07 16:11:07 daemon.warning php.backend[2083]: Attempt 3/3 failed: cURL error 35: TLS connect error: error:0A000152:SSL routines::unsafe legacy renegotiation disabled (see libcurl - Error Codes) for https://releases.mikopbx.com/releases/v1/mikopbx/getAvailableModules on MikoPBX\PBXCoreREST\Lib\Modules\GetAvailableModulesAction

На других Linux-машинах это лечится редактированием файла
/etc/ssl/openssl.cnf

по инструкции

но на mikopbx мои правки файла /etc/ssl/openssl.cnf исчезают после перезагрузки

boffart · April 7, 2026, 1:53pm

Файрвол использует legacy TLS renegotiation (старый протокол пересогласования). OpenSSL 3.x запретил его по умолчанию как уязвимый (CVE-2009-3555). Отсюда - unsafe legacy renegotiation disabled.

Включение UnsafeLegacyRenegotiation разрешает атаку man-in-the-middle через TLS renegotiation.

Это не проблема MikoPBX - вам следует исключить releases.mikopbx.com из SSL-инспекции на файрволе или обновить прошивку файрвола (современные поддерживают RFC 5746 secure renegotiation)

gav703 · April 7, 2026, 1:58pm

обновить файервол невозможно.
man-in-the-middle внутри данного сегмента корпоративной среды не страшен.
подскажите пожалуйста, как сделать чтобы правки файла
/etc/ssl/openssl.cnf
не исчезали после перезагрузки.
спасибо.

boffart · April 7, 2026, 2:01pm

Через “Кастомизация системных файлов” можно добавить cron скрипт, который будет анализировать состояние файла и править его если необходимо.