From e67d3f5d31c7a0db8417a7b078f8a1402203f1d2 Mon Sep 17 00:00:00 2001
From: Gregory Colpart <gcolpart+git@evolix.fr>
Date: Mon, 11 Oct 2021 14:28:04 +0200
Subject: [PATCH] ajout d'info sur l'incident Let's Encrypt

---
 HowtoLetsEncrypt.md | 34 ++++++++++++++++++++++++++++++++++
 1 file changed, 34 insertions(+)

diff --git a/HowtoLetsEncrypt.md b/HowtoLetsEncrypt.md
index 338353e5..17b1a3b8 100644
--- a/HowtoLetsEncrypt.md
+++ b/HowtoLetsEncrypt.md
@@ -282,3 +282,37 @@ Il faut remplacer certbot par le script letsencrypt-auto comme ceci :
 # ln -s /usr/local/bin/letsencrypt-auto /usr/local/bin/certbot
 ~~~
 
+### Incident avec le certificat DST X3 du 30 septembre 2021
+
+Le 30 septembre 2021, le certificat DST X3 d'IdenTrust a expiré, provoquant de nombreux effets de bord.
+Plus d'explications sur <https://blog.evolix.com/expiration-du-certificat-identrust-dst-x3-et-lets-encrypt/>
+
+Concrètement, pour les clients HTTPS on conseille de bien mettre à jour `openssl` (qui est moins strict dans les versions récentes ce qui corrige certains problèmes)
+et de bannir le certificat X3 du keystore local :
+
+~~~
+# vim /etc/ca-certificates.conf
+
+!mozilla/DST_Root_CA_X3.crt
+
+# update-ca-certificates
+~~~
+
+Pour les serveurs HTTPS, par défaut Let's Encrypt ajoute un certificat un peu foireux dans la chaîne de certification, mais cela peut poser des problèmes
+à des vieux clients HTTPS notamment clients d'API, callback de paiement, anciennes versions de NodeJS ou PHP Guzzle, etc.
+
+On peut contourner le problème est retirant le certificat problèmatique dans `fullchain.pem` et `chain.pem` (puis rechargeant les démons qui utilisent ces certificats) :
+
+~~~
+-----BEGIN CERTIFICATE-----
+MIIFYDCCBEigAwIBAgIQQAF3ITfU6UK47naqPGQKtzANBgkqhkiG9w0BAQsFADA/
+MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
+...
+he8Y4IWS6wY7bCkjCWDcRQJMEhg76fsO3txE+FiYruq9RUWhiF1myv4Q6W+CyBFC
+Dfvp7OOGAN6dEOM4+qR9sdjoSYKEBpsr6GtPAQw4dy753ec5
+-----END CERTIFICATE-----
+~~~
+
+Attention, au prochain renouvellement Let's Encrypt celui-ci va revenir !
+
+Pour le bannir définitivement, il faut avoir un certbot récent et utiliser l'option `–preferred-chain`.