• [^] # Re: let's encrypt !

    Posté par . En réponse à la dépêche Libervia/Salut à Toi 0.6.0 : nouvelle vague. Évalué à 5.

    Ce n’est pas un problème de version de Firefox (ou de n’importe quel navigateur).

    Le problème est que le serveur libervia.org ne fournit au client que son certificat au lieu d’envoyer la chaîne de certification complète comme il devrait le faire. Du coup, le client (Firefox ici) n’a aucun moyen de remonter la chaîne jusqu’à une racine qu’il connaît.

    Si ça fonctionne pour certains et pas pour d’autres, c’est parce que Firefox garge en mémoire les certificats intermédiaires qu’il rencontre au fil du temps, et peut les utiliser pour reconstituer une chaîne complète lorsqu’un serveur ne fournit pas la sienne (j’ai expliqué ici pourquoi il ne fallait pas compter sur ce mécanisme).

    Ici, la configuration de libervia.org doit être mise à jour pour fournir au moins le certificat intermédiaire de Let’s Encrypt (celui dont le Subject doit être C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1).

    Avec Apache < 2.4.8, ça se fait avec la directive SSLCertificateChainFile ; avec Apache >= 2.4.8, ça se fait en ajoutant le certificat intermédiaire directement à la suite du certificat terminal, dans le fichier pointé par SSLCertificateFile.

    (Mais je croyais que Let’s Encrypt devait automatiser ce genre de choses, justement pour éviter les erreurs de configuration de ce genre...)