修复 cURL error 60: SSL certificate problem: certificate has expired 错误

从2021年9月30日起，HTTP API请求可能会在安装了Let’s Encrypt证书的WordPress网站上停止工作。

例如，这样的请求会导致错误：

$res = wp_remote_get( 'https://abcdef.com/' ); 

if( is_wp_error( $res ) ){ 

echo $res->get_error_message(); 

}

然后你就会遭遇下方的报错提示：

cURL error 60: SSL certificate problem: certificate has expired

这样的错误将随处可见，例如：

在WP管理面板检查WordPress更新时。

检查插件更新时。

访问任何服务的api时。例如，TinyPNG图像压缩以及其他一些使用任何类型请求的插件。

为什么出现证书已过期错误？

简而言之，WP core有一个根证书文件，/wp-includes/certificates/ca-bundle.crt用于检查通过HTTP API创建的所有请求的SSL。在此文件中，用于为您的站点创建证书的根证书之一已过期。因此，请求无法通过验证并生成此错误。

更详细的解释：

在不详细介绍的情况下，对于非专业人士来说几句关于为什么到期 DST Root CA X3证书将影响Let’s Encrypt颁发的证书。每个验证证书的系统都有自己的可信根证书存储库。系统将信任在验证期间使用这些根证书之一的私钥签名的证书。根证书本身通常有很长的到期日期，很少更改并且在生成最终主题证书（在这种情况下是域名证书）时不使用，相反，公钥基础设施意味着使用信任链 – 根证书用于签署中间证书和已经使用它们来签署最终主题证书（域证书）。此外，为了让系统信任最终主题证书，它必须能够跟踪从该证书到它信任的根证书之一的完整链。

当Let’s Encrypt出现时，它的ISRG Root X1根证书（就像任何新的根证书一样）无法快速进入大量系统的受信任证书库。同时，为了项目的成功运行，从一开始就颁发的证书必须受到最大数量的“开箱即用”系统的信任（这些系统的用户没有任何额外的操作）。在这方面，对于证书，Let’s Encrypt开始使用通向根证书的信任链DST Root CA X3，这是大多数系统认可的。

随着下一次WP更新，比如 WordPress 5.9，此错误将会自行消失，但如果您今天需要解决方案，或者您不打算更新WordPress，但需要有效的HTTP请求，请执行以下操作。

cURL error 60: SSL certificate has expired 解决办法

您需要更新/wp-includes/certificates/ca-bundle.crt文件的内容，将其更改为https://curl.se/ca/cacert.pem文件的内容。

在这种情况下更改核心文件是可以接受的，因为下次更新WP时，问题就会消失。

手动替换内容更新以解决问题

下载此文件 https://curl.se/ca/cacert.pem。

使用上述下载以更新/wp-includes/certificates/ca-bundle.crt的内容。

好了，报错将不再出现。

或添加代码片段来修复报错

当您能够从管理面板运行代码时，使用代码会很方便，例如使用Code Snippets插件。

1、将以下代码添加到 themes functions.php 文件中（或在 Code Snippets 插件中）

/** * Goto http://yoursite.com/?update-wp-ca-bundle */ 
if( isset( $_GET['update-wp-ca-bundle'] ) ){ 
   $crt_file = ABSPATH . WPINC . '/certificates/ca-bundle.crt'; 
   $new_crt_url = 'http://curl.haxx.se/ca/cacert.pem'; 
   if( is_writable( $crt_file ) ){ 
      $new_str = file_get_contents( $new_crt_url ); 
      if( $new_str && strpos( $new_str, 'Bundle of CA Root Certificates' ) ){ 
         $up = file_put_contents( $crt_file, $new_str ); 
         echo $up ? 'OK: ca-bundle.crt updated' : 'ERROR: can`t put data to ca-bundle.crt'; 
      } else { 
         echo 'ERROR: can't download curl.haxx.se/ca/cacert.pem'; } 
   } else { 
      echo 'ERROR: ca-bundle.crt not writable'; } exit; 
}

使用后，删除此代码。

访问http://yoursite.com/?update-wp-ca-bundle页面。（替换 yoursite.com 为您的域名…）

好了，一切都恢复正常啦。