Le labo

Bidouilles et prises de notes en vrac

Accueil > Docs > SSL shitstorm since Addtrust expiration

SSL shitstorm since Addtrust expiration

mercredi 23 décembre 2020, par b_b

Le ticket à propos du bug original dans le paquet ca-certificates https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=961907

Liens en vrac à propos de l’expiration du cert root addtrust

https://www.agwa.name/blog/post/fixing_the_addtrust_root_expiration
https://news.gandi.net/fr/2020/06/un-certificat-root-a-expire-le-30-mai-2020/
https://whatsmychaincert.com/?mail.insiteinternet.fr
https://www.reddit.com/r/linuxadmin/comments/gtuvwt/site_certificate_is_only_expired_from_linux/fsekk4h/?utm_source=reddit&utm_medium=web2x&context=3
https://openroot.tech/post/186/
https://gist.github.com/minaguib/c8db186af450bceaaa7c452b76a9901b
https://gitlab.com/gnutls/gnutls/-/issues/1008 (possiblement la source du problème rencontré avec filezilla sur les certs gandi)

Liens à propos de PHPMailer

Sur une debian stretch avec le repo https://packages.sury.org/php/ on hérite d’openssl en version 1.1.1g-1+0~20200421.17+debian9~1.gbpf6902f au lieu de 1.1.0l-1~deb9u1. C’est ce qui semblait être la source du bug de validation de cert gandi, exemple :

qui renvoie :

alors que sur une autre machine debian stretch avec openssl 1.1.0l-1~deb9u1 on obtient :

Résultat d’un test avec un outil externe https://decoder.link/sslchecker/mail.insiteinternet.fr/587

Un patch temporaire est d’appliquer la solution proposée dans la doc de PHPMailer, cf https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting#updating-ca-certificates

Après comparaison du contenu de /etc/ssl/certs sur les deux machine, je découvre qu’il y a un cert GandiStandardSSLCA2.crt (situé dans /usr/local/share/ca-certificates/) présent sur la machine qui pose problème. Celui-ci est bien valide jusqu’en 2024, mais son issuer est lié à addtrsut ce qui casse la chaîne de vérification.

Pour régler le problème, il suffit de supprimer ce certificat, puis de forcer la mise à jour complète de ca-certificates avec update-ca-certificates -f -v, et hop, problem solved :)