"Flash" Certificat CN=*.jeedom.com
En Jeedom V4, pour désactiver la vérification du certificat du site market.jeedom.com,
dans Réglages > Système > Configuration > Mises à jour/Market
cocher la case « Pas de validationSSL (non recommandé) ».
Il y a eu des problèmes d’accès le 30/05/2020 par certains clients à https://*.jeedom.com car certains certificats d’AC de la chaîne de certification avaient expirés.
Pour remédier au problème les AC utilisent le mécanisme de signature croisée (cross signing).
Un exemple ici : Chaîne de confiance - Let's Encrypt - Certificats SSL/TLS gratuits
*.jeedom.com est signé par l’AC intermédiaire « COMODO RSA Domain Validation Secure Server CA », toujours valide, mais elle même signée par l’AC intermédiaire « COMODO RSA Certification Authority » qui est elle même signée par l’AC Racine « AddTrust External CA Root », ces 2 derniers certificats ayant expirés le 30/05/2020.
Sur Debian tous les certificats AC racine sont installés dans le magasin ca-certificates avec le paquet ca-certificates dans le répertoire /etc/ssl/certs.
exemples :
$ ls /etc/ssl/certs | grep Comodo_AAA
Comodo_AAA_Services_root.pem
$ ls /etc/ssl/certs | grep COMODO_RSA
COMODO_RSA_Certification_Authority.pem
(L’installation ou la mise à jour de certificats se fait avec la commande update-ca-certificates).
Pour que la chaîne de certification soit toujours validée,
le client doit avoir dans son magasin :
- l’AC Racine (1) : « COMODO RSA Certification Authority » (expire 18/01/2038)(hash cert SHA256: 52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234)
et/ou bien
- l’AC Racine (2) : « AAA Certificate Services » (expire 31/12/2028) (hash cert SHA256: d7a7a0fb5d7e2731d771e9484ebcdef71d5f0c3e0a2948782bc83ee0ea699ef4)
et le serveur doit transmettre dans le handshake TLS,
- l’AC intermédiaire « COMODO RSA Domain Validation Secure Server CA » (expire 11/02/2029)(hash cert SHA256: 02AB57E4E67A0CB48DD2FF34830E8AC40F4476FB08CA6BE3F5CD846F646840F0)
et, si AC Racine (2) mais pas Racine (1) dans magasin client :
- l’AC intermédiaire « COMODO RSA Certification Authority » (expire 31/12/2028) (hash cert SHA256: 38392f17ce7b682c198d29c6e71d2740964a2074c8d2558e6cff64c27823f129)
Un certificat d’AC Racine est toujours auto-signé, et s’il est de confiance il est ou il peut-être ajouté dans le magasin ca-certificates.
Ceci règle en particulier les problèmes d’accès à https://images.jeedom.com et https://market.jeedom.com
et https://*.dnsX.jeedom.com (avec X=1, 2 ou 3)
que certains ont pu avoir le 30/05/2020.
Une alternative étant de désactiver la validation SSL ! (c’est-à-dire de ne pas vérifier la chaîne de certification).
(pour X=4 à 6, le certificat est signé par DigiCert/GeoTrust, pas de problème).
Par ailleurs certains on rencontré un autre problème remonté vers le 07/07/2020 :
attention à l’utilisation de * (« wild card ») dans le CN (common name) et/ou SAN Subject Alternative Name).
Prenons l’exemple de https://www.dns.jeedom.com
Actuellement dans le certificat on a
CN=*.jeedom.com
Le « wild card *» couvre uniquement le premier niveau de sous domaine. Autrement dit ici cela couvre dns.jeedom.com mais pas www.dns.jeedom.com
Depuis le 08/12/2020 :
Les sites www.jeedom.com images.jeedom.com market.jeedom.com blog.jeedom.com repo.jeedom.com forum.jeedom.com,
ont comme certificat *.jeedom.com, qui est signé par l’AC intermédiaire « GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 »
qui est elle même signée par l’AC Racine « DigiCert Global Root CA ».
Les serveurs de terminaison SSL transmettent la chaîne de certificats dans le handshake TLS.
Protocoles TLS 1.2 et TLS 1.3 activés uniquement.
discussions ici :
- Erreur curl sur : https://market.jeedom.com/core/api/api.php. Détail :Empty reply from server
- Core Mise à jour v4.060 - Pb Activation DNS - #152 par akenad
akenad 