[Wapt] Error connecting with SSL … verify failed

Mar 7 Déc 18:06:10 CET 2021

Oui je confirme que certbot continait de distribuer la mauvaise chaine 
(par défaut) après la fameuse date fatidique (on s'est également prit 
les pieds dans le tapis).

On avait renouvelé nos certs juste après mais l'erreur persistait !

Une des solutions étaient de jouer avec |--preferred-chain 'ISRG Root 
X1' lors de la création du cert.|

|Ils ont quand meme mis une sacré pagaille sur le  web ce jour la ;)|

|Normalement Il ne doit exister qu'un seul path pour contrôler la 
chaine. Si, il y a plusieurs path, c'est que le serveur présente un CA 
ou intermédiaire qu'il ne devrait pas présenter car présent par défaut 
dans le store système (ou du navigateur).|

|Un petit conseil, n'utilisez pas le client certbot intégré sur les 
Debian, il est bcp trop vieux (et donc il utilise la mauvaise chaine par 
defaut). Utilisez un certbot (ou acme) bien à jour.
|

|Bonne journée à tous :)
|

Le 07/12/2021 à 15:33, Denis CARDON a écrit :
> Salut Jordi,
>
> Le 06/12/2021 à 11:57, Jordi Morillo via WAPT a écrit :
>> Ah oui ! j'ai déja vu cette erreur.
>>
>> Transquil.it présente encore la CA "DST Root CA X3" qui a expiré le 
>> 30 septembre.
>>
>> On peut soit regénerer un new cert, soit arreter de présenter "ISRG 
>> Root X1" dans sa chaine.
>>
>> Donc la chaine n'aurait plus que store.wapt.fr ainsi que R3 et on 
>> eviterait ainsi de partir sur le path#2 qui n'existerait alors plus 
>> (seul le path #1 serait présent)
>
> merci pour le message. En fait Let'sEncrypt a fait des bidouilles dans 
> ses chaines de certificats pour continuer à supporter des vieux 
> Android.  Et il y a OpenSSL 1.0.2 (utilié dans WAPT 1.8) a tendance à 
> se prendre les pieds dans le tapis et prendre la mauvaise chaine, 
> c-à-d celle avec le "DST Root CA X3",  même si la bonne chaine est 
> également présentée à côté.
>
> Et la mauvaise chaine a tendance à revenir à chaque lancement de 
> certbot... Bon, pour simplifier le tout Kévin l'a remplacé par un 
> certificat Gandi.
>
> Bonne journée!
>
> Denis
>
>
>
>>
>> Bien cdlt
>>
>>
>> Le 06/12/2021 à 11:27, Ci.legta.chatillon - 
>> EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR emis par COMTE Florent - 
>> EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR a écrit :
>>>
>>> Bonjour,
>>>
>>> Nous n'avons pas de firewall filtrant avec interception SSL entre la 
>>> console et/ou le serveur wapt et internet.
>>>
>>> Et voici les chaînes de certificat des deux adresses citées (si ça 
>>> change quelque chose, c'est avec Firefox 91.3.0 ESR)  :
>>>
>>>  *
>>>  *
>>>
>>> ---
>>>
>>> Cordialement,
>>>
>>> ------------------------------------------------------------------------ 
>>>
>>> *Florent COMTE*
>>> *Technicien Informatique (TFR IBA)*
>>> E-mail: florent.comte at educagri.fr
>>> Poste interne : 251
>>> Ligne directe : 03 80 91 53 10
>>>
>>> *EPLEFPA La Barotte - Haute Côte d'Or*
>>> Route de Langres, 21400 CHÂTILLON-SUR-SEINE
>>> Site web de l'établissement : https://www.labarotte.fr
>>>
>>> <https://www.labarotte.fr>
>>>
>>>
>>> Le 06/12/2021 11:09, > dcardon a écrit :
>>>
>>>> Bonjour Florent,
>>>>
>>>> Le 06/12/2021 à 10:45, Ci.legta.chatillon - 
>>>> EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR emis par COMTE Florent - 
>>>> EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR a écrit :
>>>>> Bonjour à tous,
>>>>>
>>>>> Je suis en 1.8.2 Community et ce matin je rencontre ce message 
>>>>> d'erreur lorsque je veux importer des paquets depuis internet 
>>>>> (Dépôt privé > Importer depuis internet) :
>>>>>
>>>>> J'ai suivi la procédure décrite ici : 
>>>>> https://www.wapt.fr/fr/doc-1.8/wapt-common-problems/common-problems-and-questions.html#error-connecting-with-ssl-verify-failed 
>>>>> <https://www.wapt.fr/fr/doc-1.8/wapt-common-problems/common-problems-and-questions.html#error-connecting-with-ssl-verify-failed> 
>>>>> sans encombre. J'ai même réinstallé la console WAPT au cas où.
>>>>
>>>> est ce que vous auriez pas un firewall filtrant avec interception 
>>>> SSL? Quand vous y accéder avec un navigateur https://store.wapt.fr 
>>>> et https://wapt.tranquil.it, vous avez quoi comme chaine de 
>>>> certificat?
>>>>
>>>> Cordialement,
>>>>
>>>> Denis
>>>>
>>>>>
>>>>> Mais le problème persiste...
>>>>>
>>>>> Des idées ?
>>>>>
>>>>> -- Cordialement,
>>>>>
>>>>> ------------------------------------------------------------------------ 
>>>>>
>>>>> *Florent COMTE*
>>>>> *Technicien Informatique (TFR IBA)*
>>>>> E-mail: florent.comte at educagri.fr <mailto:florent.comte at educagri.fr>
>>>>> Poste interne : 251
>>>>> Ligne directe : 03 80 91 53 10
>>>>>
>>>>> *EPLEFPA La Barotte - Haute Côte d'Or*
>>>>> Route de Langres, 21400 CHÂTILLON-SUR-SEINE
>>>>> Site web de l'établissement : https://www.labarotte.fr 
>>>>> <https://www.labarotte.fr> <https://www.labarotte.fr>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> WAPT mailing list
>>>>> WAPT at lists.tranquil.it
>>>>> http://lists.tranquil.it/listinfo/wapt
>>>
>>> _______________________________________________
>>> WAPT mailing list
>>> WAPT at lists.tranquil.it
>>> http://lists.tranquil.it/listinfo/wapt
>> -- 
>> https://www.yeswehack.com/wp-content/uploads/2020/12/PICTO-red.png 
>> <https://www.yeswehack.com>
>> *Jordi MORILLO*
>> System and Network Administrator
>>
>>
>> https://www.yeswehack.com/wp-content/uploads/2019/05/YWH-white-sans-cartouche.png 
>> <https://www.yeswehack.com>
>>
>>
>> #1 European Bug Bounty & VDP Platform**
>>
>>
>>
>>
>> _______________________________________________
>> WAPT mailing list
>> WAPT at lists.tranquil.it
>> http://lists.tranquil.it/listinfo/wapt
>>
-- 
https://www.yeswehack.com/wp-content/uploads/2020/12/PICTO-red.png 
<https://www.yeswehack.com> 	
*Jordi MORILLO*
System and Network Administrator

https://www.yeswehack.com/wp-content/uploads/2019/05/YWH-white-sans-cartouche.png 
<https://www.yeswehack.com>

#1 European Bug Bounty & VDP Platform**

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20211207/228d4abb/attachment.htm>