Cette semaine - selon mes informations - le certificat CA de Let's Encrypt expire. Ceci a été garanti correctement géré par R3. Cependant, cela fait deux jours que je me bats avec ces popup (voir ci-dessous). J'ai renouvelé le certificat de mon serveur de messagerie hier soir. Quelqu'un peut m'aider à comprendre ce qui se passe ?
Il semble que votre serveur IMAP ne serve que le certificat feuille, et non le ou les certificats intermédiaires nécessaires à sa vérification. Vous pouvez vérifier cela avec le openssl s_client commandement :
$ openssl s_client -connect imap.piraneo-canepa.ch:imap -starttls imap </dev/null
CONNECTED(00000005)
depth=0 CN = piraneo-canepa.ch
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = piraneo-canepa.ch
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=piraneo-canepa.ch
i:/C=US/O=Let's Encrypt/CN=R3
---
[...]Notez que la section "Chaîne de certificats" ne liste qu'un seul certificat, qui est le certificat feuille du serveur. Comparez cela avec votre serveur SMTP (courrier entrant), qui inclut les intermédiaires :
$ openssl s_client -connect mail.piraneo-canepa.ch:smtp -starttls smtp </dev/null
CONNECTED(00000005)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/CN=piraneo-canepa.ch
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
[...]Ici, la section "Chaîne de certificats" comprend deux intermédiaires ainsi que le certificat feuille du serveur. Si vous ajoutez le -showcerts il imprimera les trois certitudes (au format PEM).
...donc je pense que tout ce que vous devez faire est d'ajouter ces mêmes intermédiaires à la configuration TLS de votre serveur IMAP.
Merci beaucoup ! Il semble que cela ait résolu mon problème ! Ma dernière question : Je dois m'inquiéter de "certificate has expired" ? depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT verify return:0 depth=1 O = Digital Signature Trust Co.., CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT verify return:0 depth=1 O = Digital Signature Trust Co, CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT verify return:0 depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3 verify error:num=10:certificate has expired notAfter=Sep 30 14:01:15 2021 GMT verify return:0
@FrancescoPiraneoG. Cela peut ou non être un problème, selon l'endroit où vous le voyez. Il semble que vous voyez une signature croisée qui s'enchaîne à la racine nouvellement expirée... mais tant que c'est également en voyant la chaîne qui mène à une racine encore valide, le cert devrait être considéré comme valide à cause de cette chaîne. S'il s'agit simplement d'un message, vous pouvez l'ignorer, mais s'il entraîne le rejet du certificat, vous devrez déterminer pourquoi et comment l'arrêter.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
0 votes
Quelle est la version de MacOS que vous avez ?