• Serveurs

  • Problème de vérification de certificat OCSP et de communication via StartCom

Bonjour,

J'ai mon certificat StartCom de ma seedbox rutorrent qui est arrivé à échéance et du coup, j'ai recréé un nouveau sur leur site startssl.com, mais il y a un changement avec leur certificat qui utilise la vérification direct via OCSP.
J'ai refait mon certificat et leurs fichiers server.csr, server.key, monDomaine.com.crt et monDomaine.com.crt-unified, le tout placer dans mon dossier /etc/ssl/nginx/. J'ai dû installer le certificat intermédiare au format PEM que j'ai placé dans le même dossier avec cette instruction.

cd /etc/ssl/nginx
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem> /dev/null

Puis configuré OCSP et modifié le fichier de configuration rutorrent.conf ainsi :

sudo nano /etc/nginx/sites-enabled/rutorrent.conf

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/nginx/ca-certs.pem;

Le fichier ca-certs.pem contient un seul certificat.

fichier rutorrent.conf

Puis j'ai testé ma config ainsi:
service nginx configtest

Puis rechargé le nginx service

service nginx reload

Tout est ok aucun problème mais toujours pas de connexion https.
Dans le fichier error.log du dossier /var/log/nginx/ j'ai cette erreur qui visiblement indique qu'il n'obtiens pas une réponse valide de ocsp.startssl.com

2017/02/28 12:15:23 [error] 6537#6537: OCSP_basic_verify() failed (SSL: error:27069065: OCSP routines: OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com

2017/02/28 23:29:20 [error] 20258#20258: OCSP_basic_verify() failed (SSL: error:27069065: OCSP routines: OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com

Visiblement il ne parviens pas à obtenir le certificat d'émetteur local pendant la demande d'état du certificat, répondeur: ocsp.startssl.com

Du coup, je ne vois pas pourquoi !?

Je ne sais pas comment résoudre ce problème

J'ai posté un post ici avec un peut plus de description mais visiblement aucune réponse 🙁

https://mondedie.fr/d/9214-probleme-certificat-ssl-avec-rutorrent

J'ai testé mon certificat sur ce site ssllabs.com

Test Certificat

Test Certificat Suite

Console navigateur Chrome

Console Navigateur Chrome

Merci de votre aide et conseil !

Peut être une piste ...

Google announced Monday that when it ships Chrome 56 in January 2017 the browser will distrust certificates issued by Chinese certificate authoritiesWoSign and StartCom that have made headlines over the past month.

7 jours plus tard

Personne ne peut m'aider pour installer un certificat StartCom class 1DV Server CA
La partie ssl_stapling ne fonctionne pas et je ne vois pas pourquoi vu que StartSSL.com à changer dans leur
certificat et propose maintenant des certificat free => StartCom class 1DV Server CA

Merci de votre aide

Je ne saurais t'aider vu que je passe par LetsEncrypt mais le stapling est de moins en moins utilisé en raison des nombreux bogues de contrôle justement.

La compagnie startssl.com chez qui j'ai pris mon certificat m'a dit :

Due to the Mozilla and Google's sanction, Firefox and chrome have blocked our root certs in their latest version, for those certs issued after 21st Oct, and Apple has distrusted our roots, all certs issued after 1st Dec 2016 will meet with such revoked or invalid authority error. Opera also distrust our certs due to the use of the Chromium core.
We are creating new roots, but it may take several months. We will keep you informed of our new update.
Please accept our apologies for the inconvenience.

Donc je ne peux rien faire pour ce certificat ou en prendre un ailleurs...

    reaman Heureusement que c'est gratuit, au moins t'as pas perdu de fric. Pourquoi ne prends-tu pas Lets Encrypt ?

      Répondre…