J’ai effectué une recherche à ce sujet, mais d’après ce que je comprends, comme j’ai utilisé la méthode Discourse par défaut pour obtenir mon certificat Let’s Encrypt, il devrait se renouveler automatiquement. Or, cela ne s’est pas produit (voir l’image ci-dessous).
Après avoir cherché sur ce forum, j’ai installé certbot via SSH, mais lorsque je tape « certbot certificates », il ne trouve même pas le certificat expiré, donc « certbot renew » ne fait rien.
Est-ce qu’il manque quelque chose ? Que dois-je exactement faire pour renouveler mon certificat sur mon installation Discourse ?
Merci pour cela. Il semble que la solution recommandée soit de reconstruire l’application et d’attendre. Eh bien, j’ai reconstruit l’application ce matin, par mesure de précaution générale. Si c’est vraiment la solution, peut-être que cela se résoudra tout seul plus tard aujourd’hui ?
Merci, Gavin. Pour moi, il est signalé comme valide dans Chrome, mais lorsque je clique sur les informations du certificat lui-même, il apparaît comme expiré. (voir la capture d’écran jointe)
Affichez-vous une nouvelle date d’expiration valide ?
Ah, super. Cela n’apparaît toujours pas avec une date valide dans Chrome, même après avoir vidé mon cache de navigation, mais je viens de vérifier dans Safari et je vois bien une nouvelle date valide.
Donc, je suppose que reconstruire l’application était la solution, et j’espère qu’il s’agit simplement d’un problème de cache dans Chrome.
Je pense que c’est bien le cas. Il peut parfois être difficile d’obtenir que <certains navigateurs> rapportent le bon certificat (et c’est déjà tout ce que je sais).
J’ai observé plusieurs cas où il a fallu vider le cache et redémarrer Chrome pour que le certificat valide apparaisse.
Certains navigateurs disposent d’une chaîne de confiance mise en cache qui inclut l’ancien certificat feuille X1, que LetsEncrypt a désactivé. Ils « bloquent » lorsqu’ils rencontrent cet ancien certificat et constatent qu’il a expiré.
Le dilemme : les navigateurs mis à jour sont satisfaits de la nouvelle chaîne de confiance plus courte, tandis que les anciens navigateurs exigent toujours la chaîne de confiance plus longue. Tout dépend de la mise à jour de tout pour plus de sécurité.
Une méthode pour mettre à jour votre serveur en utilisant acme.sh v3.0.1+ afin d’utiliser la chaîne de confiance préférée est la suivante :
C’est en fait l’une des très rares occasions où l’option --force est appropriée.
Attention cependant… les anciens navigateurs peuvent refuser la chaîne de confiance plus courte et insister pour obtenir le certificat. Celui-ci peut également être téléchargé sous forme de chaîne de confiance alternative. Je crois que Lets Encrypt propose un lien spécifiquement à cette fin. Je vais y aller, le récupérer et le poster ici.
Roger, JimPas. Merci. Même après avoir vidé le cache de Chrome et redémarré le navigateur, je vois toujours l’ancien certificat. (Mais dans d’autres navigateurs, je peux constater que le certificat a été renouvelé.)
Veuillez me dire si vous parvenez à trouver ce lien de chaîne de confiance alternative.
Désolé pour le retard – un petit accident hier soir. Voici les liens pour télécharger les certificats X1 et X2 ainsi que le certificat intermédiaire de feuille.
Certificats racine de l’autorité de certification LE (format PEM) :
Il semble que la solution recommandée soit de reconstruire l’application et d’attendre. Eh bien, j’ai reconstruit l’application ce matin, par mesure de précaution générale. Si c’est vraiment la solution, peut-être que cela se résoudra tout seul plus tard aujourd’hui ?
