缘起

昨天，我写了一篇文章，介绍如何使用项目模板，构建一个 Electron 项目的脚手架，我发现我自己在本地无法运行成功，出现了错误。

  ✖ Failed to install modules: ["@electron-forge/plugin-vite@^7.2.0","@typescript-eslint/eslint-plugin@^5.0.0","@typescript-eslint/parser@^5.0.0","eslint@^8.0.1","…With output: Command failed with a non-zero return code (1):yarn add @electron-forge/plugin-vite@^7.2.0 @typescript-eslint/eslint-plugin@^5.0.0 @typescript-eslint/parser@^5.0.0 eslint@^8.0.1 eslint-plugin-import@^2.25.0…yarn add v1.22.21info No lockfile found.[1/4] Resolving packages...info Visit https://yarnpkg.com/en/docs/cli/add for documentation about this command.(node:89705) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.(Use `node --trace-deprecation ...` to show where the warning was created)error Error: certificate has expiredat TLSSocket.onConnectSecure (node:_tls_wrap:1674:34)at TLSSocket.emit (node:events:515:28)at TLSSocket._finishInit (node:_tls_wrap:1085:8)at ssl.onhandshakedone (node:_tls_wrap:871:12)(node:89705) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.(Use `node --trace-deprecation ...` to show where the warning was created)error Error: certificate has expiredat TLSSocket.onConnectSecure (node:_tls_wrap:1674:34)at TLSSocket.emit (node:events:515:28)at TLSSocket._finishInit (node:_tls_wrap:1085:8)at ssl.onhandshakedone (node:_tls_wrap:871:12)⚠ Finalizing dependencies

错误内容如上，看着一大段，很吓人的样子，不过可以仔细阅读一下，真正的错误是在第 10 行，Error: certificate has expired，如果你去网上搜，遇到这个错误怎么办？

探究

你会搜到很多文章，告诉你，将 strict-ssl 设置成 false，就可以解决这个问题。确实没错，这样设置真的可以解决问题。

不过，作为程序员，我们还是要探究一下原因，为什么我只是根据模板创建一个项目，就会遇到这种那种奇怪的错误呢？

昨天写文章太急了，我也没有深究，还是把解决方案写上了。今天我花点时间来研究一下。有不少文章说，是因为挂了代理导致的，你可以使用命令：

echo $http_proxy
echo $https_proxy

检查一下，命令行环境下，是否挂了代理，我发现我是没有挂代理的。那么，什么情况下会出现这个错误呢？

1. 服务器证书过期：包管理器的服务器证书确实过期了。这种情况下，你需要等待服务器端更新证书。
2. 本地系统时间错误：如果你的计算机系统时间设置不正确，可能会导致证书验证失败。确保你的系统时间是准确的。
3. 代理或VPN问题：如果你使用了代理或VPN，可能会影响SSL证书的验证。尝试暂时禁用这些服务，看是否能够解决问题。
4. 本地证书问题：你的本地系统可能存在证书问题，比如缺少最新的根证书或中间证书。

上面，是 AI 给出的答案，我觉得可以逐一排查一下，其中第 3 点，我已经排除了。看了眼时间和手机，第 2 点也可以排除了，而第 4 点，根据 SSL 的原理，我们是用本地根证书来验证站点的 SSL 证书的，我觉得可以最后怀疑这个。

那么就只剩下第 1 点了，可是闻名天下的 npm 服务器怎么可能证书过期呢？

yarn config list

我执行一看：

{'version-tag-prefix': 'v','version-git-tag': true,'version-commit-hooks': true,'version-git-sign': false,'version-git-message': 'v%s','init-version': '1.0.0','init-license': 'MIT','save-prefix': '^','bin-links': true,'ignore-scripts': false,'ignore-optional': false,registry: 'https://registry.npm.taobao.org','strict-ssl': true,'user-agent': 'yarn/1.22.21 npm/? node/v21.1.0 darwin arm64',lastUpdateCheck: 1707273586611
}

大家注意第 13 行，registry: 'https://registry.npm.taobao.org'，原来，我用的不是 npm 官方的 registry，怪不得，淘宝提供的镜像过期了，那很有可能。

结果一搜，实锤了《淘宝 NPM 镜像站切换新域名啦》 （2021-11-09）。原来，官方声明，在 2022-05-31 日，我用的 registry.npm.taobao.org 早就已经过期了。现在都 2024 年了，难怪。

原因

那么为什么，我会用了一个淘宝的源呢？其实，主要因为一些不可说的原因，在我国访问美国那边的各种服务，总是有些一言难尽，在宽带随便 100M的今天，我们下载一个项目依赖，动辄以小时计算，于是大家网上随便一搜，都会有文章告诉你把 registry 改成 XXXX，于是我就改了。

相信你今天去搜，还是会看到大把文章告诉你，改成那个过期的域名呢。人家官方早就不为过期子域名维护证书了，只是没有取消解析而已。结果，反倒诞生了 strict-ssl 设置为 false 这种解决方案，就好像非要在一颗歪脖树上吊死一样的执拗。

解决

yarn config set 'strict-ssl' true
yarn config set registry "https://registry.npmmirror.com"

就可以轻松解决问题了，还没有降低项目的安全性。当然，用官方源，在系统全局挂代理提高网速，也是可以的，官方源地址是 ：https://registry.npmjs.org/。

其实，我还想强调一点，将 strict-ssl 设置成 false，真正的含义是，当连接一个 SSL 协议的网站时，不去检验服务器提供的证书的真假，也即，服务器的域名与证书可能不符，或者根本没有证书，或者是不合格 CA 颁发的，这些可能得欺诈，我们都直接忽略。

这是将我们项目的安全，完全建立在没有黑客会来攻击的基础上，是在凭运气确保项目安全，是非常不负责任的行为。养成这种习惯，让项目长期置于这种危险中，是很没有职业素养的做法。

总结

在项目里遇到了问题，快速搜索解决方案，掉到了坑里，其实无可厚非，只要我们保持自己的好奇心，求甚解，及时归还技术债务，就还是好少年！