Hello,
On est combien à avoir des scripts utilisant CURL et recevant des erreurs 60 ? L’OCSP sur les certificats Let’s Encrypt est en erreur visiblement... Une conséquence de l’expiration du certificat racine à 16h01 ?
Hello,
On est combien à avoir des scripts utilisant CURL et recevant des erreurs 60 ? L’OCSP sur les certificats Let’s Encrypt est en erreur visiblement... Une conséquence de l’expiration du certificat racine à 16h01 ?
De notre côté, la sonde check_ssl_cert continue de retourner une chaine de certification contenant l’autorité expirée :
[DBG] ISSUERS =
[DBG] issuer=C = US, O = Let’s Encrypt, CN = R3
[DBG] issuer=C = US, O = Internet Security Research Group, CN = ISRG Root X1
[DBG] issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
Le check OCSP tombe en time-out sur la récupération du fichier suivant :
[DBG] /usr/bin/timeout 30 /bin/sh -c "/usr/bin/curl —silent —location
\"▻http://apps.identrust.com/roots/dstrootcax3.p7c\" > /tmp/kK5uPu"
[DBG] CRITICAL >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
[DBG] prepend_critical_message: new message = Timeout after 30 seconds
Pour contourner temporairement, les scripts utilisant CURL ont été affublés de l’option -k ... mais ça ne peut être que temporaire évidemment...
Yop
Oui c’est suite à l’arrêt du support de la racine X3 depuis 16h. ►https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021
Si tu maîtrises les certificats il faut retirer le certificat X3 de la chaîne intermédiaire.
Notre résolution du problème explicitée par là :
▻https://www.octopuce.fr/letsencrypt-certificate-expiration-consequences
Que LE renvoie une chaîne pourrie c’est pas sympa... Merci pour le partage de l’analyse.
la méthode pour retirer le certificat X3 sur un serveur Debian/Ubuntu : ▻https://seenthis.net/messages/931880