Problèmes avec IIS et le certificat R3 expiré de Let's Encrypt


J'utilise LetsEncrypt pour générer des certificats pour mes sites sous Windows 2012R2 et 2016. Cela fonctionnait très bien, jusqu'à l'expiration récente du certificat intermédiaire R3, le 29 septembre 2021.

Il y a des malheureusement des problèmes avec IIS ; les certificats de mes sites sont à jour, mais lors de la construction de la chaîne de certificats qu'il envoie, il préfère l'ancien certificat intermédiaire R3 désormais expiré. 

En effet, un certificat SSL est vérifié au moyen d'une chaîne de confiance. Le point de départ de cette chaîne est l'autorité de certification racine (root CA).

Une CA peut émettre de multiples certificats électroniques, structurés en arborescence. Un certificat racine est le certificat au sommet de l'arborescence de certification. Sa clé privée est utilisée pour signer les autres certificats. Tous les certificats immédiatement sous le certificat racine héritent de la confiance de cette racine.

Dans le cas de Let's Encrypt, nous devrions avoir aujourd'hui : Certificat de mon site < Certificat R3 de Let's Encrypt (valide jusqu'au 15 septembre 2015) < ISRG Root X1 (valide jusqu'en 2035, donc longtemps après ma retraite ;)

Pour résoudre le problème voici la méthode utilisée:

  • Cliquer sur le menu Start
  • Chercher Manage User Certificates pour ouvrir certmgr
  • Déplier Intermediate Certification Authorities
  • Déplier Certificates
  • Sélectionner le certificat R3 qui a expiré (celui signé par DST Root CA X3 et pas ISRG Root X1)
  • Faire un clic-droit puis Delete
  • Confirmer par OK
  • Rebooter le serveur
Pour vérifier que vos serveurs envoient désormais la bonne chaîne de confiance, vous pouvez utiliser l'outil de diagnostic en ligne de DigiCert, disponible ici.

Commentaires