Le ven. 8 oct. 2021 à 10:50, Oliver varenne <o.vare...@ipconnect.fr> a écrit : > > De mon coté j'ai du faire ça sur du debian 8: > > sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf > update-ca-certificates >
Déjà fait :-) Le problème ne venait pas du système mais de matomo (piwik) qui embarque ses propres certificats dans composer : vendor/composer/ca-bundle/res/cacert.pem Après avoir supprimé DST Root CA X3, la mise à jour de matomo via HTTPS fonctionne. Et après la mise à jour, mon fichier cacert.pem modifié a été écrasé, et les commentaires du nouveau cacert.pem sont on ne peut plus clairs : (dernière ligne) ## ## Bundle of CA Root Certificates ## ## Certificate data from Mozilla as of: Mon Jul 5 21:35:54 2021 GMT ## ## This is a bundle of X.509 certificates of public Certificate Authorities ## (CA). These were automatically extracted from Mozilla's root certificates ## file (certdata.txt). This file can be found in the mozilla source tree: ## https://hg.mozilla.org/releases/mozilla-release/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt ## ## It contains the certificates in PEM format and therefore ## can be directly used with curl / libcurl / php_curl, or with ## an Apache+mod_ssl webserver for SSL client authentication. ## Just configure this file as the SSLCACertificateFile. ## ## Conversion done with mk-ca-bundle.pl version 1.28. ## SHA256: c8f6733d1ff4e6a4769c182971a1234f95ae079247a9c439a13423fe8ba5c24f ## ## Modified to remove expiring DST Root CA X3: 2021-09-25. ## C'était donc un bug dans Matomo on dirait bien... > > > Cordialement, > > > > Olivier Varenne > Co-gérant, Commercial & Développeur > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > > > > -----Message d'origine----- > > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > > Mickael MONSIEUR > > Envoyé : vendredi 8 octobre 2021 10:36 > > À : Pierre DOLIDON <sn...@sn4ky.net> > > Cc : FRench Network Operators Group <frnog@frnog.org> > > Objet : Re: [FRnOG] [TECH] Black Thursday > > > > Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON <sn...@sn4ky.net> a > > écrit : > > > > > > as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ? > > > > Tout à fait, le système est à jour: > > > > root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade > > Lecture des listes de paquets... Fait Construction de l'arbre des > > dépendances Lecture des informations d'état... Fait Calcul de la mise à > > jour... Fait > > 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. > > root@vps107:/usr/share/ca-certificates/mozilla# cat > > /etc/debian_version > > 8.11 > > > > J'ai même tenté de forcer l'installation de ISRG Root X1 > > (https://letsencrypt.org/certs/isrgrootx1.pem.txt) : > > > > root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates > > Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate > > certificate isrgrootx1.pem > > WARNING: Skipping duplicate certificate isrgrootx1.pem > > 1 added, 0 removed; done. > > > > Et il me dit qu'il l'avait déjà donc ce n'est pas ça. > > > > > > > > Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit : > > > > Le ven. 1 oct. 2021 à 14:23, N R <randria.nico...@gmail.com> a > > écrit : > > > >> Bonjour, > > > >> > > > >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L . > > > >> Il ne validait plus les certificats let's encrypt, comportement > > > >> constaté en installant FRR depuis les dépôts. > > > >> > > > >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root > > > >> CA X3" par un point d'exclamation et lancer un > > > >> update-ca-certificates pour corriger le problème. > > > > De mon côté ça ne corrige pas le problème de curl dans php7.3: > > > > curl_exec: SSL certificate problem: certificate has expired. > > > > Hostname requested was: builds.matomo.org > > > > > > > > Pourtant l'update est bien passé: > > > > > > > > ~# update-ca-certificates > > > > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done. > > > > > > > > Et php-fpm et apache2 ont bien été redémarrés... > > > > > > > > Je crois que le client va bien devoir se résoudre à upgrader sa VM > > > > debian 8.11... 8-) > > > > > > > >> Des bisous, > > > >> Nick > > > >> > > > >> Le 01/10/2021, Erwan David<er...@rail.eu.org> a écrit : > > > >>> Le 01/10/2021 à 10:31, Wallace a écrit : > > > >>>> De notre côté : > > > >>>> > > > >>>> - des personnes sous XP, quelques tablettes Android, iPhone > > pas > > > >>>> si vieux que ça qui n'arrivent plus à se connecter à des services > > ... > > > >>>> > > > >>>> - côté infra sur des serveurs figés par les clients (comprendre > > > >>>> ils refusent les maj) en Debian 8 malgré la présence du > > nouveau > > > >>>> certificat depuis longtemps, les applications présentent > > > >>>> utilisent encore l'ancien certificat invalide, on l'a juste > > > >>>> commenté dans la liste des CA du système. Bizarrement on a > > pas eu > > > >>>> ce comportement sur Debian 9 à 11 alors que les deux CA root > > sont > > > >>>> présents et activés > > > >>>> > > > >>>> - un client ecommerce s'est vu refuser pas mal de paiement de > > > >>>> commande par son prestataire monétique qui utilisait un > > > >>>> certificat pas signé avec le nouveau CA, ils ont pu rétablir à > > > >>>> 23h hier > > > >>>> > > > >>>> Sinon RAS pour le reste > > > >>>> > > > >>> Par contre des trucs récents avec pile TLS bugguée qui refusent > > le > > > >>> cross-signing si le premier certificat n'est plus valide : le DoT > > > >>> dans Android 11 :( > > > >>> > > > >>> > > > >>> --------------------------- > > > >>> Liste de diffusion du FRnOG > > > >>> http://www.frnog.org/ > > > >>> > > > >> > > > >> --------------------------- > > > >> Liste de diffusion du FRnOG > > > >> http://www.frnog.org/ > > > > > > > > --------------------------- > > > > Liste de diffusion du FRnOG > > > > http://www.frnog.org/ > > > > > > > > > > > > --------------------------- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
