Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON <sn...@sn4ky.net> a écrit : > > as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ?
Tout à fait, le système est à jour: root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade Lecture des listes de paquets... Fait Construction de l'arbre des dépendances Lecture des informations d'état... Fait Calcul de la mise à jour... Fait 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. root@vps107:/usr/share/ca-certificates/mozilla# cat /etc/debian_version 8.11 J'ai même tenté de forcer l'installation de ISRG Root X1 (https://letsencrypt.org/certs/isrgrootx1.pem.txt) : root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate isrgrootx1.pem WARNING: Skipping duplicate certificate isrgrootx1.pem 1 added, 0 removed; done. Et il me dit qu'il l'avait déjà donc ce n'est pas ça. > > Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit : > > Le ven. 1 oct. 2021 à 14:23, N R <randria.nico...@gmail.com> a écrit : > >> Bonjour, > >> > >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L . > >> Il ne validait plus les certificats let's encrypt, comportement > >> constaté en installant FRR depuis les dépôts. > >> > >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root CA > >> X3" par un point d'exclamation et lancer un update-ca-certificates > >> pour corriger le problème. > > De mon côté ça ne corrige pas le problème de curl dans php7.3: > > curl_exec: SSL certificate problem: certificate has expired. Hostname > > requested was: builds.matomo.org > > > > Pourtant l'update est bien passé: > > > > ~# update-ca-certificates > > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done. > > > > Et php-fpm et apache2 ont bien été redémarrés... > > > > Je crois que le client va bien devoir se résoudre à upgrader sa VM > > debian 8.11... 8-) > > > >> Des bisous, > >> Nick > >> > >> Le 01/10/2021, Erwan David<er...@rail.eu.org> a écrit : > >>> Le 01/10/2021 à 10:31, Wallace a écrit : > >>>> De notre côté : > >>>> > >>>> - des personnes sous XP, quelques tablettes Android, iPhone pas si vieux > >>>> que ça qui n'arrivent plus à se connecter à des services ... > >>>> > >>>> - côté infra sur des serveurs figés par les clients (comprendre ils > >>>> refusent les maj) en Debian 8 malgré la présence du nouveau certificat > >>>> depuis longtemps, les applications présentent utilisent encore l'ancien > >>>> certificat invalide, on l'a juste commenté dans la liste des CA du > >>>> système. Bizarrement on a pas eu ce comportement sur Debian 9 à 11 alors > >>>> que les deux CA root sont présents et activés > >>>> > >>>> - un client ecommerce s'est vu refuser pas mal de paiement de commande > >>>> par son prestataire monétique qui utilisait un certificat pas signé avec > >>>> le nouveau CA, ils ont pu rétablir à 23h hier > >>>> > >>>> Sinon RAS pour le reste > >>>> > >>> Par contre des trucs récents avec pile TLS bugguée qui refusent le > >>> cross-signing si le premier certificat n'est plus valide : le DoT dans > >>> Android 11 :( > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >>> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
