Skip to content

Révocation Let's encrypt (certmagedon) le 30 septembre 2021

Auteur : Philippe Le Van - @plv@framapiaf.org

Date : 30 septembre 2021

Introduction

Le 30 septembre 2021, Let's encrypt a révoqué un de ses certificats racine. Ca a posé de nombreux problèmes.

Cette page recense juste des recettes d'autres pages qui peuvent aider à résoudre les problèmes de certificat

Le problème peut être de 2 cotés :

  • soit coté génération du certificat
  • soit coté client pour interroger un site dont le certificat a été généré par let's encrypt.

Coté serveur, vérifier le certificat

Aller sur le site à vérifier (par exemple https://letsencrypt.org) avec votre Navigateur (Firefox dans mon cas) et regardez le détail du certificat :

cliquez sur le cadenas > Connexion secure > More Information > View certificate

img.png

Dans l'encadré rouge, si on a X1, c'est que le certificat racine est bon coté server, il n'y a rien à faire. Si on a X3, il faut renouveler le certificat (éventuellement mettre à jour certbot ou l'équivalent que vous avez utilisé pour générer le certificat.)

Coté client, corriger le problème

Coté client, potentiellement le client n'arrive plus à se connecter à des serveurs let's encrypt.

Diagnostic : quand on fait un curl sur un site let's encrypt, curl nous dit que le certificat a expiré (alors que non, le certificat est bon.)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
$ curl https://letsencrypt.org/


curl: (60) SSL certificate problem: certificate has expired
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

liens vers des tutos/outils qui permettent de corriger les problèmes :

  • Debian : https://github.com/xenetis/letsencrypt-expiration
  • Fedora 7 : https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4
  • PHP : corrigez le problème sur votre système, le curl doit passer, puis relancer PHP-FPM ou Apache suivant le mode d'installation

(note : je n'ai pas testé le tuto Fedora)