Pourquoi le certificat SSL n’est-il pas reconnu comme valide par mon client API (par ex. Filemaker, cURL) ?

Last modified: 27. mai 2022

Vous utilisez FileMaker ou d’autres clients et vous rencontrez des problèmes avec le certificat SSL lors de la récupération de l’API ITscope.com.

Que faut-il régler pour que les appels fonctionnent sans erreur avec les systèmes plus anciens ?

Sur les systèmes plus anciens ou qui n’ont pas été mis à jour depuis 2021, le certificat racine Let’s Encrypt pourrait éventuellement manquer ou une ancienne racine Let’s Encrypt expirée pourrait être installée. Le problème est décrit ici : https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
(en détail : « (1) all clients of your API must trust ISRG Root X1 (not just DST Root CA X3), and (2) if clients of your API are using OpenSSL, they must use version 1.1.0 or later. In OpenSSL 1.0.x, a quirk in certificate verification means that even clients that trust ISRG Root X1 will fail when presented with the Android-compatible certificate chain we are recommending by default. »)

Selon le client utilisé, vous devez donc mettre à jour les certificats racine pour que nos certificats serveur soient reconnus comme valides. Au lieu de la Let’s Encrypt « DST Root CA X3 » qui a expiré, il faut installer la plus récente « ISRG Root X1 ».
Voici un fil de discussion avec des informations rassemblées sur la mise à jour de différents systèmes :

https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190

Voici 2 exemples de systèmes Debian plus anciens :

https://blog.rac.me.uk/2016/05/04 
https://stackoverflow.com/questions/69408776/how-to-force-older-debian-to-forget-about-dst-root-ca-x3-expiration-and-use-isrg

Que faut-il régler pour que les appels avec Filemaker fonctionnent sans erreur ?

Par défaut, le plug-in de MBS pour Filemaker n’est pas accompagné de certificats racine (« Also you need a cacert.pem file with certificates »).
De ce fait, CURL ne trouve pas de certificat racine pour le certificat Let’s Encrypt de nos serveurs et reconnaît notre certificat comme self-signed.
Vous pouvez donc télécharger le bundle de certificats sur la page web suivante et activer l’option correspondante dans le plugin : http://curl.haxx.se/docs/caextract.html

Plus d’informations sur le plugin : http://www.mbsplugins.de/archive/2013-01-31/SSL_Security_with_CURL/monkeybreadsoftware_blog_archive

Was this article helpful?
Dislike 0
Views: 12