Re: Outils / méthodes de débug sur la validation de la chaine de certification ssl
Le Vendredi 7 Février 2014 06:54 CET, Daniel Caillibaud <ml@lairdutemps.org> a écrit:
> D'où deux questions
>
> 1) Pourquoi firefox arrive à valider la chaîne sans avoir ce certif intermédiaire et que
> openssl n'y parvient pas ?
>
> 2) Quelle méthode permet de parvenir au certif manquant (que symantec affiche) ?
>
> openssl s_client est bavard mais je vois pas comment récupérer dans sa sortie l'info permettant
> de trouver le certif intermédiaire manquant
Pour la question 2:
locate ca-certificates.crt
exemple de réponse : /etc/ssl/certs/ca-certificates.crt (c'est un fichier qui contient les certificats d'autorités)
puis
openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -host www.parisclassenumerique.fr -port 443 -verify -state
^^^^^^^^^^^^^^^^^^^^
valeur récupérée précédemment
Ton certificat n'a aucun problème.
Eventuellement faire une mise à jour des certificats auparavant :
update-ca-certificates puis updatedb (au cas où)
Ma réponse reste malgré tout incomplète en ce sens que ce ne devrait pas être nécessaire d'indiquer le CAfile.
Il faudrait creuser du côté de openssl version -d et de c_rehash, mais ce n'est pas l'objet de ta question
nb
Reply to: