Le certificat racine DST Root CA X3 expire en ce Jeudi 30 Septembre 2021, comme annoncé. Il semblerait que ce soit le ISRG Root X1 qui prenne la relève à compter de ce jour.
Sur Debian 9, l’expiration de ce certificat entraine l’impossibilité pour wget ou curl par exemple de télécharger du contenu sur des sites utilisant Let’s Encrypt.
Voici le correctif que j’ai utilisé avec succès.
Sur Debian 9.11, 9.12 et 9.13 :
|
1 2 |
# apt-get update # apt-get install openssl python3-openssl libcurl3-gnutls libgnutls30 |
J’ai aussi essayé de déposer le certificat ISRG Root X1 dans /usr/local/share/ca-certificates/isrgrootx1.crt puis de lancer update-ca-certificates, mais sans grand succès.
Suivi de :
|
1 |
# apt-get install libssl1.0.2 ca-certificates |
Bonjour,
Avec la modification évoquée, pas besoin de désactiver le certificat racine ayant expiré ?
rajout du point d’exclamation « ! » devant l’entrée
mozilla/DST_Root_CA_X3.crt
dans le fichier /etc/ca-certificates.conf
puis
update-ca-certificates
Effectivement, je n’ai pas eu besoin de faire ce que vous décrivez. Conserver un certificat racine expiré ne me choque pas. A la limite je préfère tomber sur une erreur « certificat expiré » plutôt que « certificat inconnu ».
Votre solution met à jour openssl pour Debian 9.13 avec la version 1.1.0l-1~deb9u4 (au moment de ce message) donc qui n’est pas gênée par la présence du certificate racine DST Root CA X3 dans un certificat SSL Let’s encrypt
Avec une version plus ancienne et problematique comme openssl 1.0.2 (qui elle est gênée par la présence de ce certificat expirée)
la suppression du certificate racine sur l’hote permet de passer outre
Dans tous les cas, c’est clairement une invitation à mettre à jour Debian
En effet, je me suis limité à un quick fix sans chercher à comprendre les implications avec OpenSSL 1.0.2. Merci pour ces précisions que je n’avais pas.
Bonjour,
De mon côté, j’ai fait la manip est toujours KO.
Avez vous mis à jour le certificat ISRG Root X1 ?
Avez vous renouveler le certificat de votre site ?
Bonjour, non aux deux questions. Quelle manipulation effectuez-vous et qui ne fonctionne pas ?
bonsoir à tous,
je n’y comprends pas grand chose mais voici le post qui m’a permis de me tirer d’affaire: https://serverfault.com/questions/1079199/client-on-debian-9-erroneously-reports-expired-certificate-for-letsencrypt-issue
PEut-etre cela peut vous aider
🙂
Pour Debian 8 et 9, j’ai fait un petit script qui met à jour les 2 certificats sur Debian 8 et 9 :
https://github.com/xenetis/letsencrypt-expiration