DST Root CA X3 Expiration (September 2021)

BigGrizzly @biggrizzly CC BY-NC-SA 30/09/2021

2

2

Hello,
On est combien à avoir des scripts utilisant CURL et recevant des erreurs 60 ? L’OCSP sur les certificats Let’s Encrypt est en erreur visiblement... Une conséquence de l’expiration du certificat racine à 16h01 ?

BigGrizzly @biggrizzly CC BY-NC-SA
- BigGrizzly @biggrizzly CC BY-NC-SA 30/09/2021
  
  De notre côté, la sonde check_ssl_cert continue de retourner une chaine de certification contenant l’autorité expirée :
  [DBG] ISSUERS =
  [DBG] issuer=C = US, O = Let’s Encrypt, CN = R3
  [DBG] issuer=C = US, O = Internet Security Research Group, CN = ISRG Root X1
  [DBG] issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
  Le check OCSP tombe en time-out sur la récupération du fichier suivant :
  [DBG] /usr/bin/timeout 30 /bin/sh -c "/usr/bin/curl —silent —location
  \"▻http://apps.identrust.com/roots/dstrootcax3.p7c\" > /tmp/kK5uPu"
  [DBG] CRITICAL >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  [DBG] prepend_critical_message: new message = Timeout after 30 seconds
  Pour contourner temporairement, les scripts utilisant CURL ont été affublés de l’option -k ... mais ça ne peut être que temporaire évidemment...
  
  BigGrizzly @biggrizzly CC BY-NC-SA
- azerttyu @azerttyu 30/09/2021
  
  Yop
  Oui c’est suite à l’arrêt du support de la racine X3 depuis 16h. ►https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021
  Si tu maîtrises les certificats il faut retirer le certificat X3 de la chaîne intermédiaire.
  Notre résolution du problème explicitée par là :
  ▻https://www.octopuce.fr/letsencrypt-certificate-expiration-consequences
  
  azerttyu @azerttyu
- BigGrizzly @biggrizzly CC BY-NC-SA 30/09/2021
  
  Que LE renvoie une chaîne pourrie c’est pas sympa... Merci pour le partage de l’analyse.
  
  BigGrizzly @biggrizzly CC BY-NC-SA
- cy_altern @cy_altern CC BY-SA 5/10/2021
  
  la méthode pour retirer le certificat X3 sur un serveur Debian/Ubuntu : ▻https://seenthis.net/messages/931880
  
  cy_altern @cy_altern CC BY-SA
Écrire un commentaire
cy_altern @cy_altern CC BY-SA 12/05/2021

DST Root CA X3 Expiration (September 2021) - Let’s Encrypt
►https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021
Modernisation des certificats utilisés par Lets Encrypt : au 30 septembre certains terminaux pas à jour pourraient ne plus fonctionner :
When we got started, that older root certificate (DST Root CA X3) helped us get off the ground and be trusted by almost every device immediately. The newer root certificate (ISRG Root X1) is now widely trusted too - but some older devices won’t ever trust it because they don’t get software updates (for example, an iPhone 4 or an HTC Dream). Click here for a list of which platforms trust ISRG Root X1.
(...si seulement ça pouvait débarrasser l’internet des iPhone 4 et de son Safari moisi !)
#letsEncrypt #iphone_4 #certificat_SSL

cy_altern @cy_altern CC BY-SA

Écrire un commentaire

DST Root CA X3 Expiration (September 2021)

/dst-root-ca-x3-expiration-september-202