Brève description
Certaines instances de VPS peuvent présenter des erreurs de certificats expirés dues à une signature croisée Let's Encrypt DST Root CA X3 expirée. Les instances exécutant les systèmes d'exploitation suivants peuvent ne pas être en mesure de se connecter aux serveurs utilisant des certificats Let's Encrypt. Ces systèmes d'exploitation risquent également de ne pouvoir accéder aux points de terminaison de Let's Encrypt pour émettre ou renouveler des certificats après 30 septembre 2021 :
CentOS et RHEL 7 ou moins
Ubuntu 16.04 ou moins
Debian 8 ou moins
Pour des raisons de compatibilité, les certificats Let's Encrypt utilisent par défaut une chaîne de certificats signée par le certificat X3 de la DST Root CA qui a expiré le 30 septembre 2021.
Avec OpenSSL 1.0.2, la chaîne non fiable est toujours préférée. Cela signifie que le certificat expiré est vu et que toute la chaîne n'est pas fiable car expirée. Les serveurs avec la version affectée d'OpenSSL et le certificat DST Root CA X3 dans leur magasin racine ne peuvent pas émettre ou renouveler les certificats Let's Encrypt. Les serveurs affectés ne peuvent pas non plus accéder aux serveurs qui les utilisent.
A quoi ressemble l'erreur ?
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html
Comment le réparer ?
Le problème peut être résolu facilement en se connectant à votre VPS via SSH et en utilisant l'une des commandes ci-dessous, en fonction de votre système d'exploitation :
CentOS 6
yum update openssl*
CentOS 7
yum update ca-certificates
Debian/Ubuntu
apt-get install libgnutls-openssl27
ou
sed -i 's#mozilla/DST_Root_CA_X3.crt#!mozilla/DST_Root_CA_X3.crt#' /etc/ca-certificates.conf