De mon coté j'ai du faire ça sur du debian 8: sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf update-ca-certificates
Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > Mickael MONSIEUR > Envoyé : vendredi 8 octobre 2021 10:36 > À : Pierre DOLIDON <sn...@sn4ky.net> > Cc : FRench Network Operators Group <frnog@frnog.org> > Objet : Re: [FRnOG] [TECH] Black Thursday > > Le ven. 8 oct. 2021 à 10:25, Pierre DOLIDON <sn...@sn4ky.net> a > écrit : > > > > as-tu pensé a mettre à jour *curl* *gnutls* *libssl* ? > > Tout à fait, le système est à jour: > > root@vps107:/usr/share/ca-certificates/mozilla# apt-get dist-upgrade > Lecture des listes de paquets... Fait Construction de l'arbre des > dépendances Lecture des informations d'état... Fait Calcul de la mise à > jour... Fait > 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. > root@vps107:/usr/share/ca-certificates/mozilla# cat > /etc/debian_version > 8.11 > > J'ai même tenté de forcer l'installation de ISRG Root X1 > (https://letsencrypt.org/certs/isrgrootx1.pem.txt) : > > root@vps107:/usr/share/ca-certificates/mozilla# update-ca-certificates > Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate > certificate isrgrootx1.pem > WARNING: Skipping duplicate certificate isrgrootx1.pem > 1 added, 0 removed; done. > > Et il me dit qu'il l'avait déjà donc ce n'est pas ça. > > > > > Le 08/10/2021 à 10:19, Mickael MONSIEUR a écrit : > > > Le ven. 1 oct. 2021 à 14:23, N R <randria.nico...@gmail.com> a > écrit : > > >> Bonjour, > > >> > > >> On a eu le cas avec une VM Debian 9 avec OpenSSL 1.1.0L . > > >> Il ne validait plus les certificats let's encrypt, comportement > > >> constaté en installant FRR depuis les dépôts. > > >> > > >> Comme indiqué ici, il a fallu préfixer la ligne "mozilla/DST Root > > >> CA X3" par un point d'exclamation et lancer un > > >> update-ca-certificates pour corriger le problème. > > > De mon côté ça ne corrige pas le problème de curl dans php7.3: > > > curl_exec: SSL certificate problem: certificate has expired. > > > Hostname requested was: builds.matomo.org > > > > > > Pourtant l'update est bien passé: > > > > > > ~# update-ca-certificates > > > Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done. > > > > > > Et php-fpm et apache2 ont bien été redémarrés... > > > > > > Je crois que le client va bien devoir se résoudre à upgrader sa VM > > > debian 8.11... 8-) > > > > > >> Des bisous, > > >> Nick > > >> > > >> Le 01/10/2021, Erwan David<er...@rail.eu.org> a écrit : > > >>> Le 01/10/2021 à 10:31, Wallace a écrit : > > >>>> De notre côté : > > >>>> > > >>>> - des personnes sous XP, quelques tablettes Android, iPhone > pas > > >>>> si vieux que ça qui n'arrivent plus à se connecter à des services > ... > > >>>> > > >>>> - côté infra sur des serveurs figés par les clients (comprendre > > >>>> ils refusent les maj) en Debian 8 malgré la présence du > nouveau > > >>>> certificat depuis longtemps, les applications présentent > > >>>> utilisent encore l'ancien certificat invalide, on l'a juste > > >>>> commenté dans la liste des CA du système. Bizarrement on a > pas eu > > >>>> ce comportement sur Debian 9 à 11 alors que les deux CA root > sont > > >>>> présents et activés > > >>>> > > >>>> - un client ecommerce s'est vu refuser pas mal de paiement de > > >>>> commande par son prestataire monétique qui utilisait un > > >>>> certificat pas signé avec le nouveau CA, ils ont pu rétablir à > > >>>> 23h hier > > >>>> > > >>>> Sinon RAS pour le reste > > >>>> > > >>> Par contre des trucs récents avec pile TLS bugguée qui refusent > le > > >>> cross-signing si le premier certificat n'est plus valide : le DoT > > >>> dans Android 11 :( > > >>> > > >>> > > >>> --------------------------- > > >>> Liste de diffusion du FRnOG > > >>> http://www.frnog.org/ > > >>> > > >> > > >> --------------------------- > > >> Liste de diffusion du FRnOG > > >> http://www.frnog.org/ > > > > > > --------------------------- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
