ajout d'info sur l'incident Let's Encrypt
This commit is contained in:
parent
7f89abd02a
commit
e67d3f5d31
|
@ -282,3 +282,37 @@ Il faut remplacer certbot par le script letsencrypt-auto comme ceci :
|
||||||
# ln -s /usr/local/bin/letsencrypt-auto /usr/local/bin/certbot
|
# ln -s /usr/local/bin/letsencrypt-auto /usr/local/bin/certbot
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
### Incident avec le certificat DST X3 du 30 septembre 2021
|
||||||
|
|
||||||
|
Le 30 septembre 2021, le certificat DST X3 d'IdenTrust a expiré, provoquant de nombreux effets de bord.
|
||||||
|
Plus d'explications sur <https://blog.evolix.com/expiration-du-certificat-identrust-dst-x3-et-lets-encrypt/>
|
||||||
|
|
||||||
|
Concrètement, pour les clients HTTPS on conseille de bien mettre à jour `openssl` (qui est moins strict dans les versions récentes ce qui corrige certains problèmes)
|
||||||
|
et de bannir le certificat X3 du keystore local :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
# vim /etc/ca-certificates.conf
|
||||||
|
|
||||||
|
!mozilla/DST_Root_CA_X3.crt
|
||||||
|
|
||||||
|
# update-ca-certificates
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Pour les serveurs HTTPS, par défaut Let's Encrypt ajoute un certificat un peu foireux dans la chaîne de certification, mais cela peut poser des problèmes
|
||||||
|
à des vieux clients HTTPS notamment clients d'API, callback de paiement, anciennes versions de NodeJS ou PHP Guzzle, etc.
|
||||||
|
|
||||||
|
On peut contourner le problème est retirant le certificat problèmatique dans `fullchain.pem` et `chain.pem` (puis rechargeant les démons qui utilisent ces certificats) :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
-----BEGIN CERTIFICATE-----
|
||||||
|
MIIFYDCCBEigAwIBAgIQQAF3ITfU6UK47naqPGQKtzANBgkqhkiG9w0BAQsFADA/
|
||||||
|
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
|
||||||
|
...
|
||||||
|
he8Y4IWS6wY7bCkjCWDcRQJMEhg76fsO3txE+FiYruq9RUWhiF1myv4Q6W+CyBFC
|
||||||
|
Dfvp7OOGAN6dEOM4+qR9sdjoSYKEBpsr6GtPAQw4dy753ec5
|
||||||
|
-----END CERTIFICATE-----
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Attention, au prochain renouvellement Let's Encrypt celui-ci va revenir !
|
||||||
|
|
||||||
|
Pour le bannir définitivement, il faut avoir un certbot récent et utiliser l'option `–preferred-chain`.
|
||||||
|
|
Loading…
Reference in a new issue