Attention ! Ne cliquez pas sur ce lien, c'est un piège à enfoirés du net !

Chez oim, forum libreChez oim, forum libre

 
Pages: [1]   En bas

Auteur Sujet: ATTENTION !!! Connexions au web et Certificat Racine Lets Encrypt expiré ! (Win XP, Win7, Play Station, smartphones...)  (Lu 226 fois)

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !







Mise à jour du 30 septembre 2021

Hallelujah !
La bascule c'est déroulée correctement ! :)




Pour les geeks, voici la page de tous les certificats Lets Encrypt et leur hiérarchie pour quelques années :
https://letsencrypt.org/certificates/


Salut tous,

Le 30 septembre, un changement majeur va intervenir dans les certificats racine de Lets Encrypt.
Le certificat racine "DST Root CA X3" utilisé par Lets Encrypt depuis maintenant 21 ans arrivera à expiration le 30 septembre 2021 à 14:01:15 UTC !


Pour de nombreux appareils et systèmes d'exploitation, cela va représenter un énorme problème si aucune mise à jour n'est effectuée.
Ce problème sera très simple, il deviendra impossible de se connecter aux sites web et services web utilisant Lets Encrypt pour leurs communications sécurisées ! Et cela représente des millions de sites et services !
Chez-oim.org fait partie de la liste !

Soyons réalistes, les plus emmerdés seront les détenteurs de Play Station, de vieux smartphones, de matériel connecté, etc...
Sous Windows ou Linux, il sera toujours possible d'installer les certificats manquants, même sous XP ! (à condition d'avoir le Service Pack). D'ailleurs, CentOS a hérité d'une mise à jour des certificats hier matin...

Les utilisateurs de Firefox ne sont pas concernés par ce problème ! Vous pouvez reprendre une activité normale, vous n'aurez pas de problème. :)

Pour les autres, pas de panique, vérifiez d'abord si vous êtes concerné. Si votre système d'exploitation est Windows 7 ou inférieur, vous êtes concernés à coup sûr.
Si vous utilisez une PS3 ou PS4, par exemple, vous serez également plus que certainement concernés...


Vérifions si vous êtes concernés

Cliquez sur le petit cadenas en haut de page et demandez plus d'infos sur le certificat de ce site web (chez-oim.org). Le certificat doit s'ouvrir dans une nouvelle page/fenêtre.
Cliquez sur l'onglet "Chemin d'accès de certification" et ouvrez bien les yeux.
Une chaine de 3 certificats apparait :
- En haut, le certificat Racine.
- Au milieu, le certificat Bundle ou intermédiaire.
- Et enfin, en bas, le certificat concernant le site ou service web.




Votre certificat affiche la racine DST Root CA X3 ? Vous êtes concerné par ce problème et risquez de voir le web inaccessible en partie à compter du 30 septembre 2021. Lisez la suite...
Votre certificat affiche la racine ISRG Root X1 ? Hourra ! Vous n'êtes pas concernés. Comme les utilisateurs de Firefox, vous pouvez regagner une activité normale. :)

Vous n'avez pas eu de bol ? Le 30 septembre vous fait peur ? On va régler le souci ! ;)

Cliquez sur la touche Win puis Exécuter ou Win tout court et entrez ce qui suit :

Code
certmgr.msc
Le magasin de certificats Windows s'ouvre à vous.

Sélectionnez la colonne "Autorités de certification racines de confiance" puis "Certificats".
Là, vous devriez trouver le certificat racine DST Root CA X3.
Vérifiez que, à tout hasard, le certificat ISRG Root X1 est présent.
Si ce certificat ISRG Root X1 est présent, vous avez fini. Vous n'avez plus à craindre le 30 septembre ! :)




Si ce n'est pas le cas, nous allons installer ce certificat.
Fermez le magasin de certificat et chargez le certificat racine ISRG Root X1 à cette adresse :
https://letsencrypt.org/certs/isrgrootx1.pem
Avant de l'enregistrer, renommez le en isrgrootx1.pem.cer afin qu'il soit lisible par Windows. Enregistrez sur le bureau.




Ensuite, double cliquez sur le certificat pour l'ouvrir. Ignorez l'avertissement de Windows qui vous dit que le fichier vient du web.
Puis, cliquez sur "Installer le certificat".




Une fenêtre de bienvenue s'ouvre.
Cliquez sur "Suivant".




Et là, il faut être attentif :
1 : Cliquez sur le bouton "Placez tous les certificats dans le magasin suivant"
2 : Cliquez sur "Parcourir"
3 : Sélectionnez "Autorités de certification racines de confiance"
4 : Validez par "Ok"
5 : Et enfin, cliquez sur "Suivant"




La dernière fenêtre apparait, acceptez le dernier avertissement Windows et cliquez sur "Terminer".
Et voilà, votre certificat racine est installé sur votre vieux Windows plus mis à jour.




Vous pouvez vérifier que le certificat racine est bien présent en recommençant à l'étape d'ouverture du magasin de certificats.


Théoriquement, tout devrait bien se passer à partir de maintenant, et surtout le 30 septembre.
Il est toutefois possible que vous ayez un problème avec le certificat Bundle (intermédiaire) R3.
Si c'est le cas, n'hésitez pas à le télécharger à cette adresse et à le renommer en .cer comme expliqué avec le certificat racine :
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Ensuite, installez le certificat comme expliqué plus haut mais, cette fois, placez le dans le magasin "Autorités de certification intermédiaires".

Si vous ouvrez ce certificat, vous remarquerez que sa racine n'est plus DST Root CA X3 mais ISRG Root X1.
C'est exactement ce que nous voulons !




Il est plus que vraisemblable qu'il faille redémarrer votre ordinateur pour qu'il avale toute la soupe qu'on a fait avec ces certificats, c'est vite fait.

Si vous possédez les certificats racine, voir bundle, dans votre magasin de certificats, vous devriez vous en sortir.
Let's Encrypt à émis les certificat DST Root CA X3 et ISRG Root X1 en utilisant une chaine de signature croisée.
Cette chaine croisée permet de mettre en commun 2 certificats (ou plus) afin de garder une certaine cohérence dans la chaine de certificats.
Il n'y a pas de rupture brutale entre les certificats croisés, si ce n'est leur nom, ce qui permet déjà de mettre un joyeux bordel.
C'est ce que nos industriels semblent avoir fait. Ils avaient des certificats gratuits sous la main, il n'imaginaient pas que leur négligence deviendrait un problème et ils vont se retrouver le nez dedans...
Certificats croisés ou pas, pour beaucoup ça ne le fera pas...

Bien sûr, je me tiens à votre entière disposition pour toute question que vous jugeriez utile. ;)
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !

Si le 1 octobre ou le 30 septembre en fin de journée je parviens à poster ici, c'est que l'astuce aura fonctionné. :)

De mon côté, tout est prêt.
La racine immédiate est stockée dans le magasin de certificats ainsi que celle qui lui fera "concurrence".
La différence entre les 2 racines ISRG Root X1 et ISRG Root X2 réside dans les clés utilisées.
La première racine utilise une clé RSA quand la seconde utilise une clé ECDSA.

Il en est de même du bundle (le certificat intermédiaire R3). Ils est stocké dans le magasin.

Windows 7 ne recevant plus de mises à jour, cela devrait fonctionner tout de même.
Vous serez tenus au jus. Et si vous ne parvenez plus à vous connecter sur un site Lets Encrypt, c'est qu'ils vous manquera un truc... ;)

Signaler au modérateur   IP archivée

Otomatic

  • Observateur
  • Pipelette pathologique
  • ******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 1.194
  • Vieux geek assagi
      • Aviatechno

Merci.  :ik:
Signaler au modérateur   IP archivée
« La vie sans musique est tout simplement une erreur, une fatigue, un exil. » Friedrich Nietzsche.
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. » Coluche

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !

Je ne te cacherai pas que je suis un peu angoissé.
Ca n'ira mieux que le 30 au soir, quand la bascule de certificats racine aura eu lieu, enfin j'espère... :trouille:

Sinon, au pire, je génère de nouveaux certificats en catastrophe pour le site et les mails. :iz:
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !

Hallelujah !
La bascule c'est déroulée correctement ! :)


Signaler au modérateur   IP archivée

francois18

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 2

bonjour,
je suis sous windows 7, j'ai suivi votre tuto pour installer les nouveaux certificats, à priori c'est bon dans le manager de certificats mais j'ai toujours ce message lorsque je veux renouveler le certificat de mon site :
Code
c:\xampp\ssl>le64.exe --key account-key.key --email "r.fra@laposte.net" --csr server.csr --crt server.crt --generate-missing --unlink --path "C:\xampp\htdocs\.well-known\acme-challenge" --live
2021/09/30 19:38:23 [ Crypt::LE client v0.37 started. ]
2021/09/30 19:38:23 Loading an account key from account-key.key
2021/09/30 19:38:23 Loading a CSR from server.csr
2021/09/30 19:38:26 Could not load the resource directory: SSL connection failed for acme-v02.api.letsencrypt.org: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

pouvez-vous m'aider ?
je précise que les fichiers account-key.key, server.csr et server.key sont bien créés
le précédent certificat est valide jusqu'au 10 octobre.

merci d'avance,
François
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !

Salut,

Ton souci ne semble pas être un souci de certificat. Lets Encrypt délivre des certificats capables de passer le cap de la péremption de la racine DST ROOT CA X3.
Au pire, tu te retrouves avec un certificat à la signature croisée. Mais tu ne sembles pas concerné.

Citation
Could not load the resource directory: SSL connection failed for acme-v02.api.letsencrypt.org: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

Ce qui veut dire, grosso modo :
Citation
Impossible de charger le répertoire de ressources : Échec de la connexion SSL pour acme-v02.api.letsencrypt.org : Échec de la tentative de connexion SSL error:14090086:Routines SSL:ssl3_get_server_certificate:échec de la vérification du certificat

Essaye en ajoutant à ta demande de certificat le paramètre --insecure

Fais gaffe ! J'ai mis le tuto à jour aujourd'hui en même temps que la mise à jour de le.pl/exe
On est passé à la version 0.38 qui est peut-être la solution !



Je passe ta question dans le sujet Tuto LetsEncrypt: Installer un certificat de sécurité SSL sous Windows ou Linux avec Crypt::LE (le.pl / le.exe) parce-que la question est très intéressante et que je n'avais pas pensé à cette conséquence.
Surtout, tiens moi au courant et surtout la façon dont tu as réussi.
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 21.104
  • Proprio officiel chez oim !

La réponse est trouvée, il faut mettre à jour le.pl/exe vers la version 0.38 et renouveler ou recréer ses certificats.

https://chez-oim.org/index.php/topic,1980.0.html
Signaler au modérateur   IP archivée
Pages: [1]   En haut
 

+ Réponse Rapide

Page générée en 0.056 secondes avec 22 requêtes.