Outils / méthodes de débug sur la validation de la chaine de certification ssl
Bonjour,
J'ai eu récemment un pb avec un site https joignable normalement avec un navigateur (certif
valide) mais pas curl qui répond "unable to get issuer certificate"
J'ai alors remis à jour la liste de certificats que j'utilise, compilée manuellement à partir
des certifs de mon iceweasel 26 (méthode
https://github.com/bagder/curl/blob/master/lib/firefox-db2pem.sh), mais ça change rien.
testé avec (le site fait du tls1)
curl -1 --cacert ca-bundle.crt https://www.parisclassenumerique.fr/
mais aussi
wget --secure-protocol=TLSv1 --ca-certificate ca-bundle.crt
ou
openssl s_client -host www.parisclassenumerique.fr -port 443 -verify -debug -tls1
(je laisse le site concerné parce que c'est mieux de causer sur un exemple réel, j'espère que
l'admin m'en voudra pas de le faire sur une liste publique, mais c'est pas non plus une erreur
de conf très grave puisque tous les navigateurs accèdent au site)
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp montre bien le certif
intermédiaire manquant et propose même de le récupérer.
Il commence par MIIGHjCCBQagAwIBAgIQLE mais je le trouve nul part sur ma machine
(fouillé avec un grep sur /etc/ssl/certs, /usr/share/ca-certificates et
~/.mozilla/firefox/*.default), donc je suppose que je l'ai pas localement.
D'où deux questions
1) Pourquoi firefox arrive à valider la chaîne sans avoir ce certif intermédiaire et que
openssl n'y parvient pas ?
2) Quelle méthode permet de parvenir au certif manquant (que symantec affiche) ?
openssl s_client est bavard mais je vois pas comment récupérer dans sa sortie l'info permettant
de trouver le certif intermédiaire manquant
Merci
--
Daniel
Une cause très petite, qui nous échappe, détermine un effet considérable que nous ne
pouvons pas ne pas voir, et alors nous disons que cet effet est dû au hasard.
Henri Poincaré
Reply to: