Re: Vérifier la validité d'un certificat let's encrypt

To: debian-user-french@lists.debian.org
Subject: Re: Vérifier la validité d'un certificat let's encrypt
From: G2PC <g2pc@visionduweb.com>
Date: Wed, 2 Jan 2019 04:28:09 +0100
Message-id: <[🔎] 5e80bdcb-c1b0-6707-6c5d-087595fdb5cd@visionduweb.com>
In-reply-to: <9ecba4b1-4ddb-f48e-9271-b837222fe486@visionduweb.com>
References: <4cdcaa0d-ef6a-51c2-25ab-713c668fa74b@visionduweb.com> <B0C05C4D-A865-49F0-8223-A9EFEBC5FCF5@worldonline.fr> <9ecba4b1-4ddb-f48e-9271-b837222fe486@visionduweb.com>

Le 31/12/2018 à 14:26, G2PC a écrit :
>>> Je ne sais pas comment faire pour vérifier le certificat en ligne de commande. Qu'entendait par la mon interlocuteur ?
>> $ openssl s_client -connect www.visionduweb.fr:443 -showcerts
>> CONNECTED(00000003)
>> depth=1 /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
>> verify error:num=20:unable to get local issuer certificate
>> verify return:0
>> ---
>> Certificate chain
>>  0 s:/CN=green-nrj.com
>>    i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
>> -----BEGIN CERTIFICATE-----
>> MIIG+jCCBeKgAwIBAgISBAlKRxSnx7RHIkwKBKH41cweMA0GCSqGSIb3DQEBCwUA
>> MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
>> ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODEyMjAwMTM3MDJaFw0x
>> OTAzMjAwMTM3MDJaMBgxFjAUBgNVBAMTDWdyZWVuLW5yai5jb20wggIiMA0GCSqG
>> SIb3DQEBAQUAA4ICDwAwggIKAoICAQCi6DDW4g5Zl7plzuHn9qfPS8n+6tRDIXyH
>> 5yTOJ78rSJPax45AU7luMvFkBgsDQIkR8k0SMbnbhKnUm3wt/cFC/PdmwCofJKs+
>> cS65pEZEZGECrbxm96A95I4xmPgJqYPkHipMWWfzo7vQKiJT/ZTPV9MnXfJIFB03
>> swfE7cUnVgFPk5X1yO5QV/xhE/VqLN3/loqubTVoXqT4UfR64gyKD869gMcs0TOU
>> 631uwDCiP+giP52lyRApyNROiwjqoWZqO6a9tCz8YwdxpGEVpVRErzT9ErfxL5BC
>> NkQbBGfm3qweOzk0hLZ/inqGDQna0gD5JOajNwXc4r8+laxKcvC1tsSt6UaS7cFd
>> V5s7V3lgFwDpFT/Rd2a8584cTJjw+8qUjr82O866+hdiqCgUJfLQgFdLiV3PgvRy
>> Ef1vC6CUqnUtr2DgHg/pghol7GgQWij+ZHPe/LVIbGIYwFcU7VaisbjhZB2/jXDw
>> m/CABN5+4gC6/NbK6i0HzGnraLXegUq7U+U2HIdlZ7zZygKFOIdXtG6gY1k9UZ+d
>> hel8Ddyhvwyz8NGFyC2/87A0Yo8UoimhUhBRrJDslrKaG5rvIOXZqezmHhQaYUMG
>> Bd2SsToCXsKPwicRLUMGg2YL9V2c4oNdNzSqR/jyXdl2lEwpSOcqOI/jt0IvpaUN
>> XqxDZKrfhwIDAQABo4IDCjCCAwYwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQG
>> CCsGAQUFBwMBBggrBgEFBQcDAjAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBQsjvMX
>> Ag8GMFZEkeQQXnOhfSTOkDAfBgNVHSMEGDAWgBSoSmpjBH3duubRObemRWXv86js
>> oTBvBggrBgEFBQcBAQRjMGEwLgYIKwYBBQUHMAGGImh0dHA6Ly9vY3NwLmludC14
>> My5sZXRzZW5jcnlwdC5vcmcwLwYIKwYBBQUHMAKGI2h0dHA6Ly9jZXJ0LmludC14
>> My5sZXRzZW5jcnlwdC5vcmcvMIG/BgNVHREEgbcwgbSCDWdyZWVuLW5yai5jb22C
>> GHVuaXMtcG91ci1sYS1wbGFuZXRlLmNvbYIXdW5pcy1wb3VyLWxlLWNsaW1hdC5j
>> b22CDnZpc2lvbmR1d2ViLmZyghF3d3cuZ3JlZW4tbnJqLmNvbYIcd3d3LnVuaXMt
>> cG91ci1sYS1wbGFuZXRlLmNvbYIbd3d3LnVuaXMtcG91ci1sZS1jbGltYXQuY29t
>> ghJ3d3cudmlzaW9uZHV3ZWIuZnIwTAYDVR0gBEUwQzAIBgZngQwBAgEwNwYLKwYB
>> BAGC3xMBAQEwKDAmBggrBgEFBQcCARYaaHR0cDovL2Nwcy5sZXRzZW5jcnlwdC5v
>> cmcwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdgBVgdTCFpA2AUrqC5tXPFPwwOQ4
>> eHAlCBcvo6odBxPTDAAAAWfJeTPwAAAEAwBHMEUCIQCvGIWQ7UI+5bOJYleH0Mq0
>> vfc1n1KVr17UCigKLWG+ugIgBkvLL/9Zjw3LwDT1wUXWDoXWTgKaN3Q2mwv5iWxd
>> yVsAdgApPFGWVMg5ZbqqUPxYB9S3b79Yeily3KTDDPTlRUf0eAAAAWfJeTPqAAAE
>> AwBHMEUCIB1mOFfzS7CQB43SHJ54wIAh/IMa73OYPkd5bsUlIUHaAiEAn6xkJahl
>> P+momyiuDgdKPjQamb6W5ipqlvrbcghiIKEwDQYJKoZIhvcNAQELBQADggEBAGVH
>> BSBcOqI7d0pQ0wTBwg6VxTUJNfh7WmGYpqJzqgtKDoTgMwV+0Z8kSDdwBdldIsj2
>> ns8v7bFqDbY3HZA2YS1QH3uPoo4B4/XzRCyYZXJ+5AE1lULvryj5isFoKEXkRhTn
>> e2LX/6/QYNw2TC4woXshYxGxxafH/d+MIycwHUv9xNvKCRr78RkYRXFtMGwZ+HIU
>> tQvgJmIae7hoOZ8zGyHyqqDgNxbtpeGADYmpuDZFxvWFlngVjBUPyYmvttdJVu3I
>> A2uDjIof8HZRAHcSezSMlrJTOZ5raM/YsihnQy/fZ/A2HJrLh8DXGnlzNa//e8YL
>> SV+8hWnOBW0yO8TDJP8=
>> -----END CERTIFICATE-----
>>  1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
>>    i:/O=Digital Signature Trust Co./CN=DST Root CA X3
>> -----BEGIN CERTIFICATE-----
>> MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
>> MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
>> DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
>> SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
>> GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
>> AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF
>> q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8
>> SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0
>> Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA
>> a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj
>> /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T
>> AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG
>> CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv
>> bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k
>> c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw
>> VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC
>> ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz
>> MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu
>> Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF
>> AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo
>> uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/
>> wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu
>> X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG
>> PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6
>> KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
>> -----END CERTIFICATE-----
>> ---
>> Server certificate
>> subject=/CN=green-nrj.com
>> issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
>> ---
>> No client certificate CA names sent
>> ---
>> SSL handshake has read 4690 bytes and written 712 bytes
>> ---
>> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
>> Server public key is 4096 bit
>> Secure Renegotiation IS supported
>> Compression: NONE
>> Expansion: NONE
>> SSL-Session:
>>     Protocol  : TLSv1
>>     Cipher    : DHE-RSA-AES256-SHA
>>     Session-ID: 537EE5EEBB6229A1D067B5D8FDF1BCD8D0AF95794D423DA71D89FAFDB7AE66E6
>>     Session-ID-ctx: 
>>     Master-Key: 34F7AC2BCA2C7EB74554D5D6F5C4107DD5F908969056B066D4B0174926BEED093C73734E2C1088CEEBBD8A6C3E8D4C49
>>     Key-Arg   : None
>>     Start Time: 1546191685
>>     Timeout   : 300 (sec)
>>     Verify return code: 0 (ok)
>> ---
>>
>> Enjoy!
>>
>> Ph. Gras
>
> Merci.
>
> Et, ça semble correct ?
> A partir de toutes ses informations, comment puis je savoir si me
> connecter à ce domaine est sécurisé et légitime ?
>
> J'ai certifié plusieurs domaines en même temps, dans le dossier
> green-nrj.com ( Qui devient le CN d'après ce que je lis CN=green-nrj.com )
> Donc, que le domaine visionduweb.fr indique un CN=green-nrj.com est normal.
>
>
> Pour le reste, je conçois qu'une clé est indiquée, faut t'il que je la
> compare quelque part ?
>
>
> Au niveau de la clé en 4096 bit je suppose que c'est déjà très bien, par
> contre, pour le Cipher, je ne sais pas ...
> Je me demandais d'ailleurs si il ne me manque pas des informations, au
> niveau de ma configuration, pour ajouter un ou plusieurs Cipher, pour
> renforcer la configuration. Je n'ai pas encore bien compris cela. Je me
> demande si ce n'est pas ça qui fait que je n'ai que une note de B, au
> lieu de A+ comme vu sur certains tutoriels.
>
> SSL handshake has read 4690 bytes and written 712 bytes
> ---
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 4096 bit


J'ai également trouvé ceci pour vérifier si le certificat a été révoqué
ou non :
curl -L -v -s https://www.visionduweb.fr 1>/dev/null

Connection #0 to host www.visionduweb.fr left intact

Je suppose que ce message signifie que le certificat est valide, donc,
la connexion légitime ?

Reply to:

Prev by Date: Re: Joyeuses fêtes
Next by Date: Connexion automatique sur pppoe au démarrage
Previous by thread: Re: Fonctionnement de la liste Debian
Next by thread: Connexion automatique sur pppoe au démarrage
Index(es):
- Date
- Thread