Oui je confirme que certbot continait de distribuer la mauvaise chaine (par défaut) après la fameuse date fatidique (on s'est également prit les pieds dans le tapis).

On avait renouvelé nos certs juste après mais l'erreur persistait !

Une des solutions étaient de jouer avec --preferred-chain 'ISRG Root X1' lors de la création du cert.

Ils ont quand meme mis une sacré pagaille sur le  web ce jour la ;)

Normalement Il ne doit exister qu'un seul path pour contrôler la chaine. Si, il y a plusieurs path, c'est que le serveur présente un CA ou intermédiaire qu'il ne devrait pas présenter car présent par défaut dans le store système (ou du navigateur).

Un petit conseil, n'utilisez pas le client certbot intégré sur les Debian, il est bcp trop vieux (et donc il utilise la mauvaise chaine par defaut). Utilisez un certbot (ou acme) bien à jour.

Bonne journée à tous :)

Le 07/12/2021 à 15:33, Denis CARDON a écrit :
Salut Jordi,

Le 06/12/2021 à 11:57, Jordi Morillo via WAPT a écrit :
Ah oui ! j'ai déja vu cette erreur.

Transquil.it présente encore la CA "DST Root CA X3" qui a expiré le 30 septembre.

On peut soit regénerer un new cert, soit arreter de présenter "ISRG Root X1" dans sa chaine.

Donc la chaine n'aurait plus que store.wapt.fr ainsi que R3 et on eviterait ainsi de partir sur le path#2 qui n'existerait alors plus (seul le path #1 serait présent)

merci pour le message. En fait Let'sEncrypt a fait des bidouilles dans ses chaines de certificats pour continuer à supporter des vieux Android.  Et il y a OpenSSL 1.0.2 (utilié dans WAPT 1.8) a tendance à se prendre les pieds dans le tapis et prendre la mauvaise chaine, c-à-d celle avec le "DST Root CA X3",  même si la bonne chaine est également présentée à côté.

Et la mauvaise chaine a tendance à revenir à chaque lancement de certbot... Bon, pour simplifier le tout Kévin l'a remplacé par un certificat Gandi.

Bonne journée!

Denis




Bien cdlt


Le 06/12/2021 à 11:27, Ci.legta.chatillon - EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR emis par COMTE Florent - EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR a écrit :

Bonjour,

Nous n'avons pas de firewall filtrant avec interception SSL entre la console et/ou le serveur wapt et internet.

Et voici les chaînes de certificat des deux adresses citées (si ça change quelque chose, c'est avec Firefox 91.3.0 ESR)  :

 *
 *

---

Cordialement,

------------------------------------------------------------------------
*Florent COMTE*
*Technicien Informatique (TFR IBA)*
E-mail: florent.comte@educagri.fr
Poste interne : 251
Ligne directe : 03 80 91 53 10

*EPLEFPA La Barotte - Haute Côte d'Or*
Route de Langres, 21400 CHÂTILLON-SUR-SEINE
Site web de l'établissement : https://www.labarotte.fr    

<https://www.labarotte.fr>


Le 06/12/2021 11:09, > dcardon a écrit :

Bonjour Florent,

Le 06/12/2021 à 10:45, Ci.legta.chatillon - EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR emis par COMTE Florent - EPLEFPA-LA-BAROTTE-HAUTE-COTE-D-OR a écrit :
Bonjour à tous,

Je suis en 1.8.2 Community et ce matin je rencontre ce message d'erreur lorsque je veux importer des paquets depuis internet (Dépôt privé > Importer depuis internet) :

J'ai suivi la procédure décrite ici : https://www.wapt.fr/fr/doc-1.8/wapt-common-problems/common-problems-and-questions.html#error-connecting-with-ssl-verify-failed <https://www.wapt.fr/fr/doc-1.8/wapt-common-problems/common-problems-and-questions.html#error-connecting-with-ssl-verify-failed> sans encombre. J'ai même réinstallé la console WAPT au cas où.

est ce que vous auriez pas un firewall filtrant avec interception SSL? Quand vous y accéder avec un navigateur https://store.wapt.fr et https://wapt.tranquil.it, vous avez quoi comme chaine de certificat?

Cordialement,

Denis


Mais le problème persiste...

Des idées ?

-- Cordialement,

------------------------------------------------------------------------
*Florent COMTE*
*Technicien Informatique (TFR IBA)*
E-mail: florent.comte@educagri.fr <mailto:florent.comte@educagri.fr>
Poste interne : 251
Ligne directe : 03 80 91 53 10

*EPLEFPA La Barotte - Haute Côte d'Or*
Route de Langres, 21400 CHÂTILLON-SUR-SEINE
Site web de l'établissement : https://www.labarotte.fr <https://www.labarotte.fr> <https://www.labarotte.fr>


_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt

_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt
-- 
https://www.yeswehack.com/wp-content/uploads/2020/12/PICTO-red.png <https://www.yeswehack.com>    
*Jordi MORILLO*
System and Network Administrator

    
https://www.yeswehack.com/wp-content/uploads/2019/05/YWH-white-sans-cartouche.png <https://www.yeswehack.com>

    
#1 European Bug Bounty & VDP Platform**




_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt

--
https://www.yeswehack.com/wp-content/uploads/2020/12/PICTO-red.png
Jordi MORILLO
System and Network Administrator

https://www.yeswehack.com/wp-content/uploads/2019/05/YWH-white-sans-cartouche.png

#1 European Bug Bounty & VDP Platform