[ source : Scott Helme : « Let’s Encrypt’s Root Certificate is expiring! » ]
Voilà ce qui me vaut des déboires depuis vendredi dernier, et en particulier sur DotAddict et Dotclear depuis hier — réglé sur ces deux serveurs depuis.
Pour faire court : Les certificats délivrés par Lets’Encrypt sont certifiés — en ce moment — par un certificat intermédiaire nommé R3, lui-même certifié jusqu’à fin septembre dernier par un certificat racine nommé DST Root CA X3. Or ce certificat racine est arrivé à expiration et est maintenant remplacé par un nouveau certificat racine nommé ISRG Root X1.
Ce qui fait que depuis quelques jours, il y a pas mal de certificats R3 certifiés par la racine DST Root CA X3 qui ne sont plus reconnus comme valides. Il faut donc récupérer un certificat R3 certifié par le nouveau racine ISRG Root X1.
Normalement, lorsqu’un certificat est « évalué » par une machine, celle-ci vérifie parmi les certificats racine qu’elle possède localement (tout système d’exploitation en installe). Pour les machines récentes, pas de souci, le nouveau ISRG Root X1 fait partie des certificats installés, la chaîne est validée (certificat → R3 → ISRG Root X1).
Par contre pour les vieilles machines, par exemple les Macs avec un OS antérieur à 10.12, ne connaissent pas ce nouveau certificat racine et donc celles-ci ne valident pas la chaîne (certificat → R3 → ISRG Root X1).
J’ai deux serveurs de mail dans ce cas là, sur lesquels j’ai pu installer le nouveau certificat racine ; pas en tant que racine mais système (je pense que ça devrait suffire). Par contre, vendredi dernier j’ai un peu abusé des requêtes de renouvellement forcées et j’ai dépassé le quota hebdomadaire :-)
Du coup, va falloir attendre encore quelques jours avant que mes deux serveurs retrouvent une chaîne de certificat valide…
PS : J’ai lu qu’on pouvait en attendant « amputer » le fullchain.pem du dernier certificat (en fin de fichier), mais j’ai quelques doutes sur cette manip’