为了“IPv6行动计划”落地,工信部推出21项举措

为贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》,工业和信息化部将采取实施LTE网络端到端IPv6改造、加快固定网络基础设施IPv6改造、推进应用基础设施IPv6改造、开展政府网站IPv6改造与工业互联网IPv6应用、强化网络安全保障、落实配套保障措施等六方面二十一项举措。

工业和信息化部

关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知

工信部通信〔2018〕77号

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,部属各单位、部属各高校,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,中国广播电视网络有限公司,阿里巴巴(中国)有限公司、深圳市腾讯计算机系统有限公司、百度在线网络技术(北京)有限公司、北京京东世纪信息技术有限公司、北京金山云网络技术有限公司、网宿科技股份有限公司、北京蓝汛通信技术有限责任公司、上海帝联信息科技发展有限公司、华为技术有限公司、广东欧珀移动通信有限公司、维沃移动通信有限公司、北京小米科技有限责任公司、魅族科技有限公司、上海优刻得信息科技有限公司、无锡华云数据技术服务有限公司、北京迅达云成科技有限公司、北京优帆科技有限公司、中山大学、东网科技有限公司、大连东软思维科技发展有限公司、宁夏誉成云创数据投资有限公司、蓝汛欣润科技(北京)有限公司、贵阳中电高新数据科技有限公司、贵阳综合保税区大数据科技有限公司、润泽科技 发展有限公司、武汉火凤凰云计算服务股份有限公司、湖南尚锐信息科技有限公司、启明信息技术股份有限公司、大连亿达名气通数据服务有限公司、沈阳铁路局、万国数据服务有限公司、成都中立数据科技有限公司、光环云谷科技有限公司、张北云联数据服务有限责任公司、上海数据港股份有限公司、阿里云计算有限公司(万网)、北京新网互联软件服务有限公司、中国互联网信息中心(CNNIC)、政府和公益机构域名注册管理中心(CONAC)、成都西维数码科技有限公司、厦门三五互联科技股份有限公司、厦门易名科技股份有限公司、江苏邦宁科技有限公司、浙江贰贰网络有限公司、佛山市亿动网络有限公司、厦门商中在线科技股份有限公司、广东时代互联科技有限公司:

为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号,以下简称《行动计划》),加快网络基础设施和应用基础设施升级步伐,促进下一代互联网与经济社会各领域的融合创新,现就涉及我部相关任务的组织实施工作通知如下。

一、实施LTE网络端到端IPv6改造

(一)LTE网络IPv6改造。到2018年末,基础电信企业完成全国范围LTE核心网、接入网、承载网、业务运营支撑系统等IPv6改造并开启IPv6业务承载功能,为移动终端用户数据业务分配IPv6地址,提供端到端的IPv6访问通道。

(二)基础电信企业自营业务系统IPv6改造。到2018年末,基础电信企业完成门户网站、网上营业厅网站IPv6改造,并完成活跃用户规模排名前10位的自营移动互联网应用(APP)及相应系统服务器IPv6升级改造,使移动互联网应用(APP)支持IPv6访问优先;通过免流量升级等推广措施,引导用户完成移动互联网应用(APP)更新。

到2018年末,移动互联网IPv6用户规模不少于5000万户(基础电信企业已分配IPv6地址且一年内有IPv6上网记录的用户),其中,中国电信集团有限公司(简称中国电信)用户不少于1000万户,中国移动通信集团有限公司(简称中国移动)用户不少于3000万户,中国联合网络通信集团有限公司(简称中国联通)用户不少于1000万户。

(三)移动终端全面支持IPv6。推动新生产移动终端的出厂默认配置支持IPv4/IPv6双栈,并逐步推进存量移动终端通过系统软件升级开启IPv6功能。基础电信企业定制和集中采购的移动终端应全面支持IPv6。

(四)基础电信企业间网络与应用IPv6互通。到2019年第一季度末,各基础电信企业均完成LTE网络与其他基础电信企业用户规模排名前10位的移动互联网应用系统服务器互通,实现已选定的30个移动互联网应用(APP)IPv6跨网访问。

二、加快固定网络基础设施IPv6改造

(五)骨干网IPv6互联互通。到2018年末,完成北京、上海、广州、郑州、成都的互联网骨干直联点IPv6改造,开通IPv6网间互联带宽不少于1Tbps。到2020年末,完成所有互联网骨干直联点IPv6改造,开通IPv6网间互联带宽不少于5Tbps。

(六)城域网和接入网IPv6改造。到2018年末,基础电信企业完成城域网和接入网IPv6改造并开启IPv6业务承载功能,为固定宽带用户分配IPv6地址,向政企客户提供基于IPv6的专线业务,并出台相应的资费优惠措施。

(七)固定终端全面支持IPv6。推动新生产的家庭网关、企业网关、路由器等固定终端支持IPv6并默认配置支持IPv4/IPv6双栈,基础电信企业定制和集中采购的固定终端应全面支持IPv6。

(八)业务运营支撑系统改造。到2018年第三季度末,基础电信企业完成业务运营支撑系统升级改造,建立面向IPv6业务的运维管理体系和业务管理流程,具备IPv6用户统计、流量统计以及IPv6业务受理、开通、运行维护等能力。

三、推进应用基础设施IPv6改造

(九)数据中心IPv6改造。基础电信企业和数据中心运营企业应完成数据中心内部网络和出口设备的IPv6改造,支持IPv6业务接入和承载。到2018年末,中国电信、中国移动、中国联通完成超大型数据中心IPv6改造,国家超级计算广州中心、东北区域大数据中心、东软软件园数据中心、誉成云创数据中心、百度云计算技术(山西)有限公司、蓝汛首鸣国际数据中心完成IPv6改造,为用户提供基于IPv6的互联网数据中心(IDC)业务,2018年起新投产的数据中心应支持IPv6。到2020年末,各大型数据中心运营企业均完成IPv6改造。

(十)内容分发网络(CDN)IPv6改造。到2018年末,阿里云、腾讯云、金山云、网宿科技、蓝汛、帝联科技完成内容分发网络(CDN)IPv6改造。

(十一)云服务平台IPv6改造。到2018年末,中国电信、中国移动、中国联通面向公众提供服务的云服务平台完成50%云产品IPv6改造,阿里云、腾讯云、金山云、UCloud、华为云、华云、迅达云、百度云、京东云、青云等云服务平台企业完成50%云产品IPv6改造。到2020年末,上述企业完成全部云产品IPv6改造。鼓励云服务企业面向用户提供IPv6技术咨询、网站改造等服务。

(十二)域名系统IPv6改造。到2018年末,中国电信、中国移动、中国联通完成递归域名解析服务器的IPv6改造,万网、新网互联、中国互联网信息中心(CNNIC)、政府和公益机构域名注册管理中心(CONAC)、西部数码、三五互联、易名中国、中国数据、爱名网、联动天下、商务中国、时代互联完成IPv6改造,构建域名注册、解析、管理全链条IPv6支持能力。

四、开展政府网站IPv6改造

与工业互联网IPv6应用

(十三)政府网站IPv6改造。推进工业和信息化系统门户网站IPv6改造。到2018年末,工业和信息化部完成门户网站IPv6改造;到2019年末,部属各单位、部属各高校及各省、自治区、直辖市通信管理局完成门户网站IPv6改造。

(十四)工业互联网IPv6应用。鼓励典型行业、重点工业企业开展工业互联网IPv6网络化改造,创新工业互联网应用实践,构建工业互联网IPv6标准体系。

五、强化IPv6网络安全保障

(十五)加强IPv6网络安全管理。将IPv6相关网络基础设施及应用基础设施安全防护纳入电信和互联网网络安全防护体系,健全完善IPv6环境下网络安全相关管理和技术要求,开展针对IPv6的网络安全等级保护、风险评估、通报预警等工作。

(十六)做好IPv6网络安全保障措施升级改造。各基础电信企业和数据中心、内容分发网络(CDN)、云服务等运营企业要同步做好现有网络安全保障系统在IPv4向IPv6过渡过程中的升级改造,确保具备基于IPv6的安全保障能力。

(十七)强化IPv6网络安全能力建设。加强基于IPv6固定网络基础设施和应用基础设施的网络安全防护手段建设,支持开展IPv6网络环境下的工业互联网、物联网、人工智能等新兴领域网络安全技术和管理机制研究。鼓励企业、研究机构、高校等各方加强协同,加快IPv6安全技术研发、应用和融合创新。

六、落实配套保障措施

(十八)加强组织领导。各地通信管理局、工业和信息化主管部门要加强与有关部门的沟通协调,建立协同工作机制。各基础电信企业集团公司、设备制造企业以及数据中心、内容分发网络(CDN)、云服务、域名服务等企业要成立由公司领导任组长的专项推进工作组,对照各项目标任务制定具体实施方案和工作计划,并于5月15日前报送工业和信息化部(信息通信发展司)。

(十九)落实主体责任。各企业要加大资金投入力度,确保各项目标任务按期完成。各基础电信企业集团公司在对各省级子(分)公司的业绩考核中,还应将IPv6相关任务完成情况作为重要的考核指标,要安排资金保障IPv6各项任务落实。各企业应于2018年6月、9月、12月底向工业和信息化部(信息通信发展司)报送相关工作进展情况。

(二十)强化规范管理。完善互联网信息服务备案管理制度,鼓励互联网接入服务提供者和互联网信息服务提供者提供基于IPv6的服务,在互联网信息服务备案时明确要求提供IPv6相关信息;加强IPv6地址备案系统的建设和备案管理,督导企业严格落实IPv6接入地址编码规划方案;完善相关电信业务管理要求,要求数据中心(含云服务)、内容分发网络(CDN)等运营企业在提交年报时,提供支持IPv6相关情况;修订电信设备进网检测的相关规定,明确网络及终端设备进网中有关IPv6的检测要求。各地工业和信息化主管部门在电子政务系统、信息化系统及服务平台等项目审批中,应将支持IPv6作为必要条件,并负责考核落实;要统筹安排专项资金,加大对本地区IPv6改造工作的支持力度。

(二十一)加强督查考核。工业和信息化部将成立IPv6督查工作专家组,研究制定推进IPv6规模部署相关任务完成情况的考核标准,并将定期组织开展专项督查工作,就LTE网络IPv6端到端贯通、固定网络基础设施改造、应用基础设施改造、强化网络安全保障等重点任务进行分项考核。中国信息通信研究院要研究构建IPv6发展监测平台,形成对网络、应用、终端、用户、流量等关键发展指标的实时监测和分析能力,并向社会发布IPv6各项发展指标数据。

工业和信息化部

2018年4月25日

 

看来IPV6实施已经开始,大家拭目以待吧。

纪念第一次被DDOS

半夜零点腾讯云突然发短信通知一台云主机被DDOS,弄得我正睡意正浓的突然被吵醒。

我那破主机还有人光顾。不过想想还要上班,懒得折腾,管他谁呢,怕它再扰我清梦,直接用手机把服务器关了。

早晨醒来,以为哪个无聊的家伙应该走了吧,我一空主机,就装了LNMP也被关照,难得啊。

于是开机。谁知上午又出现了三次,我一空网站,页面都没有,不知道谁攻击。

每次1~2分钟,从几百M的到2G的攻击带宽。

没处理过啊。一时无头脑。突然想起来以前玩VULTR和AWS时可以随时换IP。不知道腾讯云会不会有弹性IP。

发现还真有,于是直接换了IP。让DDOS见鬼去吧。

 

关于免费SSL证书的那些事儿

根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。
随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。
目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。

一、Let’s Encrypt

官方网站:https://letsencrypt.org/
点评:毫无疑问,Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,Let’s Encrypt 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。
如何申请?可以通过安装 LAMP 后,使用 lamp add 命令来自动创建 SSL 证书。也可以通过以下在线申请网站,手动申请证书。
在线申请网址1(中文):https://freessl.org/
在线申请网址2(英文):https://www.sslforfree.com/
在线申请网址3(英文):https://gethttpsforfree.com/

二、TrustAsia

官方网站:https://www.trustasia.com/
点评:TrustAsia 是国内一家新兴的 SSL 证书提供商,赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA 业务被 DigiCert 收购完成,其证书链也从 Symantec 变为 DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。
在线申请网址:https://freessl.org/

三、AlwaysOnSSL

官方网站:https://alwaysonssl.com/
点评:AlwaysOnSSL 是一个新的免费和自动认证机构。它由 CertCenter 和 Digicert 运行,免费提供 6 个月的 DV SSL 证书。
在线申请网址:https://alwaysonssl.com/

四、Comodo

官方网站:https://www.comodo.com/
点评:在 Let’s Encrypt 没有问世之前,Comodo 的市场占有率是第一位。随着 Let’s Encrypt 的盛行,Comodo 在 DV SSL 市场占有率逐渐下降,但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90 天的免费 DV SSL 证书。
在线申请网址1:https://secure.instantssl.com/products/SSLIdASignup1a
在线申请网址2:https://www.100tb.com/
备注:100TB 免费提供 1 年期的 Comodo 证书,前提是需要注册为会员后才能在后台申请。100TB 的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备 CSR(Certificate Signing Request),这里有 CSR 在线生成工具。参考网址:https://www.csr.sh/

五、Cloudflare

官方网站:https://www.cloudflare.com/
点评:Cloudflare 很早就开始提供免费 SSL 证书,前提是你的域名要放在 Cloudflare 解析,注册为 Free Plan 就可以。
备注:只要域名加入 Cloudflare Free Plan,解析 A 记录的时候,点击 Traffic to this hostname will go through Cloudflare,就可以了。一般情况下,这个免费的 Universal SSL 里会包含一大堆别人的域名(该证书也是 Comodo 发行的)。当然,如果你比较介意这个的话,可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。

六、AlphaSSL

官方网站:https://www.alphassl.com/
点评:其实 AlphaSSL 并不免费提供 SSL 证书,而且价格不菲。但是 AlphaSSL 跟 SingleHop 有合作关系,免费给 SingleHop 的客户发行证书,甚至包括通配符 SSL 证书。有人根据这个规则,开发了个自动发行证书的工具。详见:https://github.com/Vittfarne/ASSL
也就是说,只要你有了 SingleHop 的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被 SingleHop 给关闭账户。
值得注意的是,如果你申请了这个 SSL 证书,就要有 SSL 证书随时可能被吊销的觉悟。
详情始末的参考网址:https://www.lowendtalk.com/discussion/comment/2306096/#Comment_2306096
在线申请网址:https://en.assl.space/

尾声:

自从 Let’s encrypt 开始提供免费DV SSL后,SSL 证书市场就已经开始洗牌了。
值得一提的是 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL 证书,后被国内公司 360 收购。曾在 CA 市场也有一席之地,StartCom 的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 OCSP 和 CRL 服务。
沃通(Wosign)也属于类似情况,被 Mozilla 认为 WoSign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和 Chrome 不信任,最终导致出局。

最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 CA 开始提供免费的 DV SSL 证书。

文章来源:秋水逸冰 » 关于免费SSL证书的那些事儿

如何卸载阿里云&腾讯云官方的监控软件服务(安骑士、云镜)

阿里云和腾讯云都提供了自己的安全保姆化方案,但是自从去年阿里云安骑士错误删除客户文件后,这类服务器软件一直处于褒贬不一的情况。中国的服务器安全确实缺口很大,但是也确实不能因为客户不作为就帮他打开家门加了个管家吧,虽然是免费的。

查询网上有提到的几种卸载方案,各位备用:

卸载云盾(安骑士)

curl -sSL http://update.aegis.aliyun.com/download/quartz_uninstall.sh | sudo bash
 
sudo rm -rf /usr/local/aegis
 
sudo rm /usr/sbin/aliyun-service
 
sudo rm /lib/systemd/system/aliyun.service

代码备份

bash
#!/bin/bash
 
#check linux Gentoo os 
var=`lsb_release -a | grep Gentoo`
if [ -z "${var}" ]; then 
    var=`cat /etc/issue | grep Gentoo`
fi
 
if [ -d "/etc/runlevels/default" -a -n "${var}" ]; then
    LINUX_RELEASE="GENTOO"
else
    LINUX_RELEASE="OTHER"
fi
 
stop_aegis(){
    killall -9 aegis_cli >/dev/null 2>&1
    killall -9 aegis_update >/dev/null 2>&1
    killall -9 aegis_cli >/dev/null 2>&1
    printf "%-40s %40s\n" "Stopping aegis" "[  OK  ]"
}
 
stop_quartz(){
    killall -9 aegis_quartz >/dev/null 2>&1
        printf "%-40s %40s\n" "Stopping quartz" "[  OK  ]"
}
 
remove_aegis(){
if [ -d /usr/local/aegis ];then
    rm -rf /usr/local/aegis/aegis_client
    rm -rf /usr/local/aegis/aegis_update
fi
}
 
remove_quartz(){
if [ -d /usr/local/aegis ];then
    rm -rf /usr/local/aegis/aegis_quartz
fi
}
 
 
uninstall_service() {
 
   if [ -f "/etc/init.d/aegis" ]; then
        /etc/init.d/aegis stop  >/dev/null 2>&1
        rm -f /etc/init.d/aegis 
   fi
 
    if [ $LINUX_RELEASE = "GENTOO" ]; then
        rc-update del aegis default 2>/dev/null
        if [ -f "/etc/runlevels/default/aegis" ]; then
            rm -f "/etc/runlevels/default/aegis" >/dev/null 2>&1;
        fi
    elif [ -f /etc/init.d/aegis ]; then
         /etc/init.d/aegis  uninstall
        for ((var=2; var<=5; var++)) do
            if [ -d "/etc/rc${var}.d/" ];then
                 rm -f "/etc/rc${var}.d/S80aegis"
            elif [ -d "/etc/rc.d/rc${var}.d" ];then
                rm -f "/etc/rc.d/rc${var}.d/S80aegis"
            fi
        done
    fi
 
}
 
stop_aegis
stop_quartz
uninstall_service
remove_aegis
printf "%-40s %40s\n" "Uninstalling aegis"  "[  OK  ]"
 
remove_quartz
printf "%-40s %40s\n" "Uninstalling aegis_quartz"  "[  OK  ]"

另有强删方案:

#!/bin/bash 
rm -rf /usr/local/aegis 
for A in $(ps aux | grep Ali | grep -v grep | awk '{print $2}') 
do 
  kill -9 $A; 
done

屏蔽云盾 IP

而后检查服务器记录时发现一堆  Alibaba.Security.Heimdall 的访问记录。网上查询发现是云盾。

根据官方介绍

云盾会通过公网模拟黑客入侵攻击,进行安全扫描。所以服务器有安全防护时,需要对云盾扫描ip进行放行。

赶快屏蔽!

此处使用 UFW, iptables 用户请自己找一下添加方法。注意:如果已有接受 80 端口之类的规则,新增的拒绝 IP 规则在其后将不会生效。所以要在  /etc/ufw/before.rules 设置。

sudo nano 编辑此文件并找到  # End required lines,在其后添加:

# Block Ali Yun Dun  https://help.aliyun.com/knowledge_detail/37436.html
 
-A ufw-before-input -s 140.205.201.0/28 -j DROP
-A ufw-before-input -s 140.205.201.16/29 -j DROP
-A ufw-before-input -s 140.205.201.32/28 -j DROP
-A ufw-before-input -s 140.205.225.192/29 -j DROP
-A ufw-before-input -s 140.205.225.200/30 -j DROP
-A ufw-before-input -s 140.205.225.184/29 -j DROP
-A ufw-before-input -s 140.205.225.183/32 -j DROP
-A ufw-before-input -s 140.205.225.206/32 -j DROP
-A ufw-before-input -s 140.205.225.205/32 -j DROP
-A ufw-before-input -s 140.205.225.195/32 -j DROP
-A ufw-before-input -s 140.205.225.204/32 -j DROP

保存后运行  sudo ufw reload。完毕!

 

据说腾讯云云镜也有类似问题:转:

#!/bin/bash
#fuck tx process
rm -rf /usr/local/sa
rm -rf /usr/local/agenttools
rm -rf /usr/local/qcloud
process=(sap100 secu-tcs-agent sgagent64 barad_agent agent agentPlugInD pvdriver )
for i in ${process[@]}
do
  for A in $(ps aux | grep $i | grep -v grep | awk '{print $2}')
  do
    kill -9 $A
  done
done
 
chkconfig --level 35 postfix off
service postfix stop
echo ''>/var/spool/cron/root
echo '#!/bin/bash' >/etc/rc.local

文章转载:

https://www.cmsky.com/uninstall-aliyun-monitoring

https://blog.whe.me/post/uninstall-aliyun-monitoring.html

参考文献:

https://www.v2ex.com/t/217931

https://help.aliyun.com/knowledge_detail/40477.html

http://51.ruyo.net/p/5369.html

使用国内Mariadb源安装RPM包

最近在国内云下载Mariadb,发现默认的源实在太慢。

经过查询发现可以使用国内源头。单独设置。推荐中科大源。

sudo vi /etc/yum.repos.d/MariaDB.repo

# MariaDB 10.1 CentOS repository list - created 2016-12-31 08:44 UTC
# http://downloads.mariadb.org/mariadb/repositories/
[mariadb]
name = MariaDB
baseurl = https://mirrors.ustc.edu.cn/mariadb/yum/10.1/centos73-amd64/
gpgkey = https://mirrors.ustc.edu.cn/mariadb/yum/RPM-GPG-KEY-MariaDB
gpgcheck = 1

 

在线更新Ubuntu

1、终端下执行命令

$ sudo apt-get update && sudo apt-get dist-upgrade

2、重启系统以完成更新的安装

$ sudo init 6

3、用命令安装更新管理器核心update-manager-core,如果服务器已安装则可以跳过

$ sudo apt-get install update-manager-core

4、编辑/etc/update-manager/release-upgrades配置文件,设置Prompt=lts

$ sudo vi /etc/update-manager/release-upgrades

5、启动升级进程

$ sudo do-release-upgrade -d

6、按下“Y”,点击回车,开始升级过程

7、随着升级的系统,必须重启某些服务,选择Yes并继续

8、系统会提示删除过时的包,输入“Y”,并在升级过程完成后,使用以下命令重新启动服务器:

$ sudo init 6

现在Server已经升级到Ubuntu Server 16.04(Xenial Xerus)LTS。

Debian或Ubuntun wget下载证书无法验证

Debian或Ubuntun wget下载证书无法验证,出现如下类似错误:

ERROR: cannot verify URL’s certificate, issued …….’: Unable to locally verify the issuer’s authority.

解决方案:1.增加下载附件参数 –no-check-certificate

2.更新安装根证书

$ sudo apt-get install ca-certificates