ajout d'info sur l'incident Let's Encrypt

HowtoLetsEncrypt.md

@@ -282,3 +282,37 @@ Il faut remplacer certbot par le script letsencrypt-auto comme ceci :
 # ln -s /usr/local/bin/letsencrypt-auto /usr/local/bin/certbot
 ~~~
 
+### Incident avec le certificat DST X3 du 30 septembre 2021
+
+Le 30 septembre 2021, le certificat DST X3 d'IdenTrust a expiré, provoquant de nombreux effets de bord.
+Plus d'explications sur <https://blog.evolix.com/expiration-du-certificat-identrust-dst-x3-et-lets-encrypt/>
+
+Concrètement, pour les clients HTTPS on conseille de bien mettre à jour `openssl` (qui est moins strict dans les versions récentes ce qui corrige certains problèmes)
+et de bannir le certificat X3 du keystore local :
+
+~~~
+# vim /etc/ca-certificates.conf
+
+!mozilla/DST_Root_CA_X3.crt
+
+# update-ca-certificates
+~~~
+
+Pour les serveurs HTTPS, par défaut Let's Encrypt ajoute un certificat un peu foireux dans la chaîne de certification, mais cela peut poser des problèmes
+à des vieux clients HTTPS notamment clients d'API, callback de paiement, anciennes versions de NodeJS ou PHP Guzzle, etc.
+
+On peut contourner le problème est retirant le certificat problèmatique dans `fullchain.pem` et `chain.pem` (puis rechargeant les démons qui utilisent ces certificats) :
+
+~~~
+-----BEGIN CERTIFICATE-----
+MIIFYDCCBEigAwIBAgIQQAF3ITfU6UK47naqPGQKtzANBgkqhkiG9w0BAQsFADA/
+MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
+...
+he8Y4IWS6wY7bCkjCWDcRQJMEhg76fsO3txE+FiYruq9RUWhiF1myv4Q6W+CyBFC
+Dfvp7OOGAN6dEOM4+qR9sdjoSYKEBpsr6GtPAQw4dy753ec5
+-----END CERTIFICATE-----
+~~~
+
+Attention, au prochain renouvellement Let's Encrypt celui-ci va revenir !
+
+Pour le bannir définitivement, il faut avoir un certbot récent et utiliser l'option `–preferred-chain`.