Letsencrypt DST Root CA X3 Expiration au 30 septembre 2021

stephane · Octobre 1, 2021, 9:12

Je ne sais pas si vous aviez prévu une action particulière pour avertir vos utlisateurs|trices de potentielle difficulté? Je veux dire sur des appareils non mis à jour ou parce que l’éditeur ne propose plus de maj.

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Une autre des conséquence est le fait que la chain of trust de nos certificat letsencrypt a expiré si vous n’avez pas entre temps fait un renouvellement manuel. Cependant cela entraine des problèmatiques en cascade pas forcément identifié coté serveur. Typiquement cUrl refusera obstinément d’établir une connexion ssl|tls? Des avis? des observations?

immae · Octobre 1, 2021, 9:21

De mon côté j’ai bien peiné 7h pour résoudre ce souci, qui ne touchait que certains clients et certains protocoles (SMTP et FTP).

J’ai fini par trouver une solution côté serveur, qui consistait à enlever de la chaîne de certificats le certificat ISRG Root X1 signé par DST Root CA X3, et le remplacer par le même certificat ISRG Root X1 mais autosigné ( cf https://letsencrypt.org/certificates/ , ce certificat est déjà accepté à pas mal d’endroits). Du coup j’ai en pratique définitivement enterré les vieux Androids (les seuls à accepter encore DST malgré son expiration, grace à un certain hack) pour que le reste puisse fonctionner correctement.

Je n’ai pas bien compris pourquoi mon certbot s’obstine à mettre la version signée par DST Root CA X3 dans la fullchain, du coup j’ai « fixé » ça à coup de sed

stephane · Octobre 1, 2021, 9:22

Quelle version de acme tu utilises?

[edit] en fait, je ne sais pas si il y a vraiment un lien

immae · Octobre 1, 2021, 9:24

J’utilise lego ( https://github.com/go-acme/lego/ ) et j’ai observé le même souci avec acme.sh (https://github.com/acmesh-official/acme.sh)

cquest · Octobre 2, 2021, 5:54

Et comment ça se passe avec cerbot ?

Personne ne m’a encore signalé de problème, et j’utilise cerbot depuis pas mal de temps en remplacement de acme.sh (ou quelque chose de ce genre, enfin le truc historique des début de LetsEncrypt).

immae · Octobre 2, 2021, 6:56

De mon côté, j’ai eu en plus git qui râlait au pull (https) sur une ubuntu récente. Les navigateurs eux marchent bien cependant

stephane · Octobre 3, 2021, 7:42

Il y a effectivement de nombreuse implémentation du protocole ACME . Une liste ici https://github.com/topics/acme-client. La plupart implémente acme sur letsencrypt.
[edit] j’ai changé le titre de ce topic pour bien spécifier que le problème vient de l’utilisation de letsencrypt et pas du protocole ACME.
Pour ce qui est de letsencrypt, le forum donne une petite idée de différents problèmes observés.

pvincent · Octobre 5, 2021, 7:09

Du peu que j’ai compris, le problème survient sur des machines Windows (non à jour) avec le client de synchronisation Nextcloud.
Voici une procédure (en français) pour forcer la reconstruction du certificat racine qui peut être utile
https://www.forum-nas.fr/threads/mémo-régler-le-soucis-du-certificat-dst-root-ca-x3-expiré.16921/

popi · Octobre 6, 2021, 8:02

Pour certbot, j’ai eu une seule appli impactée : Turtl (un client lourd et des requêtes API).
La solution du fil Github a solutionnée le problème chez moi : ajouter --preferred-chain="ISRG Root X1" dans les options lors de l’appel à certbot.