Re: Outils / méthodes de débug sur la validation de la chaine de certification ssl

["nb" <nb@dagami.org>]

Le Vendredi 7 Février 2014 06:54 CET, Daniel Caillibaud <ml@lairdutemps.org> a écrit:


> D'où deux questions
>
> 1) Pourquoi firefox arrive à valider la chaîne sans avoir ce certif intermédiaire et que
> openssl n'y parvient pas ?
>
> 2) Quelle méthode permet de parvenir au certif manquant (que symantec affiche) ?
>
> openssl s_client est bavard mais je vois pas comment récupérer dans sa sortie l'info permettant
> de trouver le certif intermédiaire manquant

Pour la question 2:

locate ca-certificates.crt

exemple de réponse : /etc/ssl/certs/ca-certificates.crt (c'est un fichier qui contient les certificats d'autorités)

puis

openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -host www.parisclassenumerique.fr -port 443 -verify -state
                                 ^^^^^^^^^^^^^^^^^^^^
                                 valeur récupérée précédemment

Ton certificat n'a aucun problème.

Eventuellement faire une mise à jour des certificats auparavant :

update-ca-certificates puis updatedb (au cas où)

Ma réponse reste malgré tout incomplète en ce sens que ce ne devrait pas être nécessaire d'indiquer le CAfile.

Il faudrait creuser du côté de openssl version -d et de c_rehash, mais ce n'est pas l'objet de ta question

nb