Auteur Sujet: Certificat expiré (Lu 2409 fois)

Zweit · « **le:** 08 septembre 2022 à 06:55:25 »

Salut,

Ce matin, petit message d'alerte concernant le certificat du forum indiquant qu'il est expiré

Zweit · « **Réponse #1 le:** 08 septembre 2022 à 07:02:26 »

Après quelques minutes, c'est revenu à la normale.

Toutefois, le certificat indique qu'il date d'aout dernier

Zweit · « **Réponse #2 le:** 08 septembre 2022 à 07:05:44 »

Finalement ce n'est pas réglé, le certificat expiré vient de revenir

alain_p · « **Réponse #3 le:** 08 septembre 2022 à 07:34:43 »

Le certificat du site est un certificat LetsEncrypt qui se renouvelle automatiquement. Chez moi, je vois qu'il est valable depuis le 9 Août, et expire le 7 Novembre. Donc il n'a pas expiré aujourd'hui. Le problème est donc plutôt chez toi. Tu es sûr d'aller sur le bon site ? Ou un effet de cache de ton navigateur ? Essaye un autre navigateur, et éventuellement efface ton cache ?

Citer

Pas avant Tue, 09 Aug 2022 00:31:15 GMT
Pas après Mon, 07 Nov 2022 00:31:14 GMT

thedark · « **Réponse #4 le:** 08 septembre 2022 à 07:48:46 »

Citation de: alain_p le 08 septembre 2022 à 07:34:43

Le certificat du site est un certificat LetsEncrypt qui se renouvelle automatiquement. Chez moi, je vois qu'il est valable depuis le 9 Août, et expire le 7 Novembre. Donc il n'a pas expiré aujourd'hui. Le problème est donc plutôt chez toi. Tu es sûr d'aller sur le bon site ? Ou un effet de cache de ton navigateur ? Essaye un autre navigateur, et éventuellement efface ton cache ?

J'ai eu le coup ce matin, du SSL qui n'était pas renouveller.
Peut être un des certificat du load balancing n'est pas à jour ?

alain_p · « **Réponse #5 le:** 08 septembre 2022 à 07:57:35 »

Le load balancing, ce n'est pas plutôt une bascule entre interface IPv4 et IPv6 ? Il me semble qu'à cause des attaques DDOS, la fibre a un réseau de secours géré par Milkywan ?

vivien · « **Réponse #6 le:** 08 septembre 2022 à 08:15:06 »

Le serveur n'a pas de load blancing: il y a un seul serveur qui a deux interfaces réseau : une pour IPv4 avec MilkyWan et une IPv6 avec Adeli. Adeli prend en charge tout le trafic IPv6 et MilkyWan tout le trafic IPv4.

IPv4 ou IPv6, c'est le même serveur qui répond avec le même certificat et le même contenu.

Le certificat Let's Encrypt n'a pas expiré. Le DNS n'a pas changé.

D'autres personnes sont impactées ?

Je ne comprends pas d'où vient le problème.

La date et l'heure de ton PC sont ok ? (pile CMOS usée par exemple qui fait que la date est invalide)

Hugues · « **Réponse #7 le:** 08 septembre 2022 à 08:28:10 »

RAS ici

pioup · « **Réponse #8 le:** 08 septembre 2022 à 08:55:55 »

J'ai été impacté vers 8h sur un pixel 6. Après un nouveau chargement de la page. Ras

chantoine · « **Réponse #9 le:** 08 septembre 2022 à 08:59:08 »

Je viens de l'avoir à l'instant, en passant d'une page à l'autre (page 14 à 15 sur le fil de la prolongation de l'iti).

vivien · « **Réponse #10 le:** 08 septembre 2022 à 09:40:58 »

J'ai moi aussi rencontré le problème et je viens de redémarrer le serveur. Je pense que cela devrait corriger le bug.

Ce qui se passait : Le serveur Apache renvoie (aléatoirement) l'ancien certificat Let's Encrypt, qui a expiré le 07 Sep 2022 13:39:12.

Les certificats Let's Encrypt ont une durée de validité de 3 mois et sont renouvelés tous les 2 mois.
On a donc le précédent certificat qui est valide un mois alors qu'il n'est normalement plus présenté.

Pourquoi le serveur s'est mis à renvoyer l'ancien certificat, alors que le nouveau est présent depuis 1 mois sur le système ? C'est visiblement un bug Apache.

J'ai ma petite idée pour comprendre pourquoi c'est arrivé aujourd'hui et pas avant : Je teste le service "canonical-livepatch" qui permet de patcher le noyau sans redémarrer le serveur et donc je n'avais plus redémarré le serveur depuis début juillet 2022. Avant, je redémarrais le serveur environ tous les mois pour prendre en charge les modifications du noyau. Si l'ancien certificat était présenté avant le reboot, on restait donc dans sa période de validité.

hwti · « **Réponse #11 le:** 08 septembre 2022 à 11:46:21 »

Peut-être que certains processus du serveur Apache n'avaient pas chargé le nouveau certificat, et que donc selon la répartition des connexions on pouvait avoir l'un ou l'autre.

Quand le certificat est changé, est-ce qu'il y a quelque chose qui demande à Apache de recharger sa configuration ("systemctl apache2 reload", "apachectl graceful" ou "apache2 -k graceful") ?