Hello,
On est combien à avoir des scripts utilisant CURL et recevant des erreurs 60 ? L’OCSP sur les certificats Let’s Encrypt est en erreur visiblement... Une conséquence de l’expiration du certificat racine à 16h01 ?
Hello,
On est combien à avoir des scripts utilisant CURL et recevant des erreurs 60 ? L’OCSP sur les certificats Let’s Encrypt est en erreur visiblement... Une conséquence de l’expiration du certificat racine à 16h01 ?
De notre côté, la sonde check_ssl_cert continue de retourner une chaine de certification contenant l’autorité expirée :
[DBG] ISSUERS =
[DBG] issuer=C = US, O = Let’s Encrypt, CN = R3
[DBG] issuer=C = US, O = Internet Security Research Group, CN = ISRG Root X1
[DBG] issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
Le check OCSP tombe en time-out sur la récupération du fichier suivant :
[DBG] /usr/bin/timeout 30 /bin/sh -c "/usr/bin/curl —silent —location
\"▻http://apps.identrust.com/roots/dstrootcax3.p7c\" > /tmp/kK5uPu"
[DBG] CRITICAL >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
[DBG] prepend_critical_message: new message = Timeout after 30 seconds
Pour contourner temporairement, les scripts utilisant CURL ont été affublés de l’option -k ... mais ça ne peut être que temporaire évidemment...
Yop
Oui c’est suite à l’arrêt du support de la racine X3 depuis 16h. ►https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021
Si tu maîtrises les certificats il faut retirer le certificat X3 de la chaîne intermédiaire.
Notre résolution du problème explicitée par là :
▻https://www.octopuce.fr/letsencrypt-certificate-expiration-consequences
Que LE renvoie une chaîne pourrie c’est pas sympa... Merci pour le partage de l’analyse.
la méthode pour retirer le certificat X3 sur un serveur Debian/Ubuntu : ▻https://seenthis.net/messages/931880
DST Root CA X3 Expiration (September 2021) - Let’s Encrypt
►https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021
Modernisation des certificats utilisés par Lets Encrypt : au 30 septembre certains terminaux pas à jour pourraient ne plus fonctionner :
When we got started, that older root certificate (DST Root CA X3) helped us get off the ground and be trusted by almost every device immediately. The newer root certificate (ISRG Root X1) is now widely trusted too - but some older devices won’t ever trust it because they don’t get software updates (for example, an iPhone 4 or an HTC Dream). Click here for a list of which platforms trust ISRG Root X1.
(...si seulement ça pouvait débarrasser l’internet des iPhone 4 et de son Safari moisi !)