Ошибка сертификата при попытке установки из пакета на Debian

Добрый день.
Пытаюсь поставить angie по инструкции на сайте.
Скачал ключ, добавил репозиторий, но при выполнении 4 пункта sudo apt-get update выдается ошибка:
Err:6 Index of /angie/debian/ buster Release
Certificate verification failed: The certificate is NOT trusted. The certificate chain uses expired certificate. Could not handshake: Error in the certificate verification. [IP: 89.108.75.63 443]

Здравствуйте. ‘ca-certificates’ установили/обновили? Дата/время на вашем сервере корректно установлены?

Установил - обновил. Но вывод команды
Updating certificates in /etc/ssl/certs…
0 added, 0 removed; done.
да и в каталоге /etc/ssl/certs пусто.

Дата-время корректные
date
Чт мая 11 14:19:09 MSK 2023

Сначала нужно полечить вот это:

Как вариант:
sudo apt purge ca-certificates && sudo apt install ca-certificates

Сделал. Но update-ca-certificates все равно выдает
Updating certificates in /etc/ssl/certs…
0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d…
done.

Папка не пустая

Покажите, пожалуйста, вывод команд:

ls -al /etc/ssl/certs/
ls -al /usr/share/ca-certificates/mozilla/
dpkg -V ca-certificates

там большой вывод, все не помещается в ответ. какие-то может конкретные строки нужны?
ls -al /etc/ssl/certs
total 403
drwxr-xr-x 2 root root 282 мая 11 14:47 .
drwxr-xr-x 4 root root 5 июл 8 2019 …
lrwxrwxrwx 1 root root 45 мая 11 14:45 02265526.0 → Entrust_Root_Certification_Authority_-G2.pem
lrwxrwxrwx 1 root root 36 мая 11 14:45 03179a64.0 → Staat_der_Nederlanden_EV_Root_CA.pem
lrwxrwxrwx 1 root root 27 мая 11 14:45 062cdee6.0 → GlobalSign_Root_CA
-_R3.pem
lrwxrwxrwx 1 root root 25 мая 11 14:45 064e0aa9.0 → QuoVadis_Root_CA_2_G3.pem
lrwxrwxrwx 1 root root 50 мая 11 14:45 06dc52d5.0 → SSL.com_EV_Root_Certification_Authority_RSA_R2.pem

ls -al /usr/share/ca-certificates/mozilla/
total 938
drwxr-xr-x 2 root root 139 мая 11 14:45 .
drwxr-xr-x 3 root root 3 мая 11 14:45 …
-rw-r–r-- 1 root root 2772 янв 28 2021 ACCVRAIZ1.crt
-rw-r–r-- 1 root root 1972 янв 28 2021 AC_RAIZ_FNMT-RCM.crt
-rw-r–r-- 1 root root 2049 янв 28 2021 Actalis_Authentication_Root_CA.crt
-rw-r–r-- 1 root root 1204 янв 28 2021 AffirmTrust_Commercial.crt
-rw-r–r-- 1 root root 1204 янв 28 2021 AffirmTrust_Networking.crt
-rw-r–r-- 1 root root 1891 янв 28 2021 AffirmTrust_Premium.crt
-rw-r–r-- 1 root root 753 янв 28 2021 AffirmTrust_Premium_ECC.crt

dpkg -V ca-certificates вывод пустой

Выглядит сильно лучше, чем было )
Теперь давайте выполним:

sudo apt-get update && sudo apt-get install angie

Err:6 Index of /angie/debian/ buster Release
Certificate verification failed: The certificate is NOT trusted. The certificate chain uses expired certificate. Could not handshake: Error in the certificate verification. [IP: 89.108.75.63 443]

Покажите, пожалуйста, вывод команд:

dpkg -l ca-certificates
cat /etc/apt/sources.list
cat /etc/*release

dpkg -l ca-certificates
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
++±===============-================-============-=================================
ii ca-certificates 20200601~deb10u2 all Common CA certificates

cat /etc/apt/sources.list
deb Index of /debian buster main
deb-src Index of /debian buster main
deb Index of /debian-security buster/updates main
deb-src Index of /debian-security buster/updates main
deb Index of /debian buster-updates main
deb-src Index of /debian buster-updates main
deb Index of /debian buster-backports main
deb-src Index of /debian buster-backports main

at /etc/*release
PRETTY_NAME=“Debian GNU/Linux 10 (buster)”
NAME=“Debian GNU/Linux”
VERSION_ID=“10”
VERSION=“10 (buster)”
VERSION_CODENAME=buster
ID=debian
HOME_URL=“https://www.debian.org/
SUPPORT_URL=“Debian -- User Support
BUG_REPORT_URL=“https://bugs.debian.org/

Проблема связана с:

А какая версия OpenSSL используется у вас на сервере?
dpkg -l openssl либо openssl version

OpenSSL 1.1.1c 28 May 2019

Попробуйте деактивировать корневой сертификат ‘DST_Root_CA_X3’ и убедитесь, что активирован ‘ISRG_Root_X1’:
sudo dpkg-reconfigure ca-certificates

После этого, проверьте воспроизводится ли первоначальная проблема:
sudo apt update

Да, помогло, спасибо. Установил из пакета.
Может быть есть смысл добавить в инструкцию.

я делал примерно в такой манере:

mkdir -p /etc/apt/keyrings

env -C /etc/apt/keyrings curl -Lo angie.gpg https://angie.software/keys/angie-signing.gpg

cat > /etc/apt/sources.list.d/angie.sources <<-EOF
Types: deb
URIs: http://download.angie.software/angie/debian
Suites: bookworm
Components: main
Signed-By: /etc/apt/keyrings/angie.gpg
EOF

поскольку в Debian 12 Bookworm сертификаты достаточно свежие, то проблем с APT-ом не возникло, однако перенаправление HTTP->HTTPS для APT-репозиториев избыточно, т.к. APT проверяет целостность данных на клиенте посредством GnuPG. опять же, нагрузка на серверы ниже. я могу ошибаться, но этот вопрос уже обсуждался в рассылке debian-devel.

например, вот такой конфиг (ссылка на github) позволит APT-у получать целевые файлы по HTTP, а при обзоре содержимого через веб-браузер сработает перенаправление на HTTPS.