Comment valider un certificat avant l'expiration de IdentTrust DST Root CA X3

[The Jibest]

Salut,

Je vois dans https://www.macg.co/ailleurs/2021/0...emain-cause-dun-certificat-root-expire-124307 que je risque d'être confronté à un souci d'expiration de IdentTrust DST Root CA X3 d'ici ce soir.

J'ai donc cherché à exploiter l'article pour le remplacer par ISRG Root X1.

En effet, dans Trousseaux d'accès IdentTrust DST Root CA X3 expire bien à 16h01.

J'ai téléchargé le fichier proposé sur https://letsencrypt.org/fr/certificates/ , soit isrgrootx1.pem.txt, j'ai retiré l'extension .txt pour pouvoir l'importer dans Trousseaux d'accès. L'opération s'est bien déroulée sauf que ISRG Root X1 affiche : ce certificat racine n'est pas approuvé.

J'ai essayé clic droit / Evaluer, mais sans succès.

J'arrive au bout de ma témérité, comment puis-je progresser dans cette manip a priori simple,mais que je ne maîtrise pas ?

pour le sauvetage de mon iMac 2008 sous El Capitan et Firefox ESR 78.

 

[Moonwalker]

T'as vu tous les autres certificats racine qui sont invalides dans le trousseau de El Capitan ?

Tu t'emmerdes pour rien avec une information qui n'en est pas une. Tu utilises Firefox ESR 78 ? Ses certificats sont à jour pour encore longtemps.

 

[The Jibest]

Merci pour ce message rassurant.

En classant par date, seul IdentTrust DST Root CA X3 expire en 2021.

Sinon, en relisant le lien français proposé par l'article, j'ai poursuivi vers le lien anglais, a priori plus à jour https://letsencrypt.org/certificates/ qui propose directement le certificat auto signé en pem https://letsencrypt.org/certs/isrgrootx1.pem .
En cliquant dessus Firefox m'a proposé de l'ouvrir directement dans Trousseaux d'accès, j'ai choisi Système pour la destination et ça a fonctionné : le certificat est affiché comme valide.

En fait, ma manip précédente avait importé ISRG Root X1 dans session où il était toujours et affiché comme invalide, je l'ai viré.

Comme je ne maîtrise pas ces certificats qui fonctionnent depuis toujours sans mon intervention, je craignais que ça impacte mon accès internet pour d'autres applications que Firefox (Mail, Transmission, etc.).

 

[Moonwalker]

En classant par date, seul IdentTrust DST Root CA X3 expire en 2021.

Oui, je confondais avec des certificats d'un autre niveau.

M'enfin, si tu regardes les dates d'expiration prochaine des autres certificats, tu en as encore trois qui vont y passer avant la fin de 2021, et trois autres sur 2022.

Cela n'a rien d'exceptionnel. On a eu la même situation avec Snow, Lion, Mountain et Mavericks. Essaye de naviguer avec Safari sur ces systèmes et tu n'iras pas loin sur la toile.

Regarde ce site avec Safari 11 (El Capitan) : https://www.techspot.com/

Tu te fais jeter. Alors qu'avec Firefox esr 78 ou Opera 79, ça passe crème.

Mail ça peut coincer un jour avec certains serveurs, Google notamment qui met des ambuches de sécurité à tous les niveaux, mais Transmission c'est peu probable.

 

[The Jibest]

Tu vas rire, comme je viens de faire la manip certificat sur mon vénérable PowerBook G4 qui tourne toujours sous Leopard, j'ai fait le test https://www.techspot.com/

• avec Leopard Webkit, sensé faire comme le Safari d'El Capitan, ça marche
• avec TenFourFox 32 SPR4 (le dernier dispo), ça marche aussi
• Retour sur l'Imac avec Safari 11 : révoqué !

J'en profite pour demander une précision, le certificat ISRG Root X1, il faut le mettre où de préférence ? Système, ou racine du Système ?

 

[OldschoolPoitiers]

Salut,

Je vois dans https://www.macg.co/ailleurs/2021/0...emain-cause-dun-certificat-root-expire-124307 que je risque d'être confronté à un souci d'expiration de IdentTrust DST Root CA X3 d'ici ce soir.

J'ai donc cherché à exploiter l'article pour le remplacer par ISRG Root X1.

En effet, dans Trousseaux d'accès IdentTrust DST Root CA X3 expire bien à 16h01.

J'ai téléchargé le fichier proposé sur https://letsencrypt.org/fr/certificates/ , soit isrgrootx1.pem.txt, j'ai retiré l'extension .txt pour pouvoir l'importer dans Trousseaux d'accès. L'opération s'est bien déroulée sauf que ISRG Root X1 affiche : ce certificat racine n'est pas approuvé.

J'ai essayé clic droit / Evaluer, mais sans succès.

J'arrive au bout de ma témérité, comment puis-je progresser dans cette manip a priori simple,mais que je ne maîtrise pas ?

pour le sauvetage de mon iMac 2008 sous El Capitan et Firefox ESR 78.

Bonjour, j'ai eu le même problème et j'ai trouvé la solution. Telecharge le certificat ici en .pem, t'as plus qu'à cliquer, et l'installer dans le trousseau système:
Cross-signed by DST Root CA X3: pem

 

[OldschoolPoitiers]

Tu vas rire, comme je viens de faire la manip certificat sur mon vénérable PowerBook G4 qui tourne toujours sous Leopard, j'ai fait le test https://www.techspot.com/

• avec Leopard Webkit, sensé faire comme le Safari d'El Capitan, ça marche
• avec TenFourFox 32 SPR4 (le dernier dispo), ça marche aussi
• Retour sur l'Imac avec Safari 11 : révoqué !

J'en profite pour demander une précision, le certificat ISRG Root X1, il faut le mettre où de préférence ? Système, ou racine du Système ?

 

[OldschoolPoitiers]

Tu vas rire, comme je viens de faire la manip certificat sur mon vénérable PowerBook G4 qui tourne toujours sous Leopard, j'ai fait le test https://www.techspot.com/

• avec Leopard Webkit, sensé faire comme le Safari d'El Capitan, ça marche
• avec TenFourFox 32 SPR4 (le dernier dispo), ça marche aussi
• Retour sur l'Imac avec Safari 11 : révoqué !

J'en profite pour demander une précision, le certificat ISRG Root X1, il faut le mettre où de préférence ? Système, ou racine du Système ?

 

[OldschoolPoitiers]

Merci pour ce message rassurant.

En classant par date, seul IdentTrust DST Root CA X3 expire en 2021.

Sinon, en relisant le lien français proposé par l'article, j'ai poursuivi vers le lien anglais, a priori plus à jour https://letsencrypt.org/certificates/ qui propose directement le certificat auto signé en pem https://letsencrypt.org/certs/isrgrootx1.pem .
En cliquant dessus Firefox m'a proposé de l'ouvrir directement dans Trousseaux d'accès, j'ai choisi Système pour la destination et ça a fonctionné : le certificat est affiché comme valide.

En fait, ma manip précédente avait importé ISRG Root X1 dans session où il était toujours et affiché comme invalide, je l'ai viré.

Comme je ne maîtrise pas ces certificats qui fonctionnent depuis toujours sans mon intervention, je craignais que ça impacte mon accès internet pour d'autres applications que Firefox (Mail, Transmission, etc.).

 

[OldschoolPoitiers]

Salut,

Je vois dans https://www.macg.co/ailleurs/2021/0...emain-cause-dun-certificat-root-expire-124307 que je risque d'être confronté à un souci d'expiration de IdentTrust DST Root CA X3 d'ici ce soir.

J'ai donc cherché à exploiter l'article pour le remplacer par ISRG Root X1.

En effet, dans Trousseaux d'accès IdentTrust DST Root CA X3 expire bien à 16h01.

J'ai téléchargé le fichier proposé sur https://letsencrypt.org/fr/certificates/ , soit isrgrootx1.pem.txt, j'ai retiré l'extension .txt pour pouvoir l'importer dans Trousseaux d'accès. L'opération s'est bien déroulée sauf que ISRG Root X1 affiche : ce certificat racine n'est pas approuvé.

J'ai essayé clic droit / Evaluer, mais sans succès.

J'arrive au bout de ma témérité, comment puis-je progresser dans cette manip a priori simple,mais que je ne maîtrise pas ?

pour le sauvetage de mon iMac 2008 sous El Capitan et Firefox ESR 78.

Telecharge le certificat version "Cross-signed" en .pem, t'as plus qu'à cliquer, et l'installer dans le trousseau système:
Cross-signed by DST Root CA X3: pem

 

[The Jibest]

OK, j'ai refait avec la version croisée, et dans Système :happy:

 

[OldschoolPoitiers]

OK, j'ai refait avec la version croisée, et dans Système :happy:

A priori on est tranquille jusqu'au 30 septembre 2024, c'est toujours ça de pris. On verra si quelqu'un nous explique gentiment si le certificat valide jusqu'en 2035 peut être installé et approuvé.

 

[OldschoolPoitiers]

Je pense avoir finalement trouvé la solution pour valider le certificat DST Root CA X3 valide jusqu'en 2035!

• télécharger le certificat via le lien donné dans l'article de macg
• supprimer l'extension .txt pour conserver .pem
• double clic pour l'installer dans le trousseau "système"

Le certificat n'est pas validé.
-double clic sur le certificat dans le trousseau.

• dérouler le menu "se fier"
• sélectionner "toujours approuver" au lieu de "réglages par défaut"

Et hop on est tranquille jusqu'en 2035 avec nos "vieilles" bécanes que certains voudraient nous faire mettre à la poubelle.

 

[Moonwalker]

Et hop on est tranquille jusqu'en 2035 avec nos "vieilles" bécanes que certains voudraient nous faire mettre à la poubelle.

Ben non. T’es au mieux tranquille jusqu’au 15 novembre 2021, lorsqu’un autre certificat racine va arriver à expiration.

 

[Ulysse-surson31]

Bonjour,

Je pense avoir finalement trouvé la solution pour valider le certificat DST Root CA X3 valide jusqu'en 2035!

Bonjour, j'ai le même problème avec mon macbook air qui est sous Yosemite ...
Même en réalisant les différentes manip, il n'y a pas de résultat probant, et certains sites sont justes inaccessibles, d'autres seulement après avoir manuellement autorisé à continuer à rester sur une page non sécurisée.
Je vous avoue que je suis vraiment perdu, (par exemple, je n'ai plus accès à l'intranet de mon université ...) quel peut être la solution selon vous ? (Autre que mettre à jour mon mac)
Est ce q'il y a des tutos (même en anglais) pour expliquer simplement comment ça marche, j'y connais pas grand chose en informatique

Merci beaucoup

 

[Moonwalker]

La solution c’est Firefox ESR 78.14

Directory Listing: /pub/firefox/releases/78.14.0esr/mac/fr/

 

[Phil de Belgique]

Merci pour ce message rassurant.

En classant par date, seul IdentTrust DST Root CA X3 expire en 2021.

Sinon, en relisant le lien français proposé par l'article, j'ai poursuivi vers le lien anglais, a priori plus à jour https://letsencrypt.org/certificates/ qui propose directement le certificat auto signé en pem https://letsencrypt.org/certs/isrgrootx1.pem .
En cliquant dessus Firefox m'a proposé de l'ouvrir directement dans Trousseaux d'accès, j'ai choisi Système pour la destination et ça a fonctionné : le certificat est affiché comme valide.

En fait, ma manip précédente avait importé ISRG Root X1 dans session où il était toujours et affiché comme invalide, je l'ai viré.

Comme je ne maîtrise pas ces certificats qui fonctionnent depuis toujours sans mon intervention, je craignais que ça impacte mon accès internet pour d'autres applications que Firefox (Mail, Transmission, etc.).

Merci The Jibest, je viens de tester cette manipulation dans le Trousseaux d'Accès de mon MacMini en OS 10.10.5 Yosemite, et ça fonctionne avec la manip de "OldschoolPoitiers" :
----------
Le certificat n'est pas validé.
-double clic sur le certificat dans le trousseau.

• dérouler le menu "se fier"
• sélectionner "toujours approuver" au lieu de "réglages par défaut"

----------
Maintenant le certificat indique qu'il est valide jusqu'au 4 juin 2035
Donc c'est bien avec Firefox que je suis allé chercher le lien https://letsencrypt.org/certs/isrgrootx1.pem et Firefox m'a aussi proposé de le mettre dans les certificats, et en effet il faut choisir "Système" pour que tous les utilisateurs en profitent, ou "Session" pour un seul utilisateur, j'ai aussi choisi "Système".
Le certificat n'était pas validé, mais en ouvrant le certificat (double-clic) dans le trousseau j'ai déroulé le menu "se fier" puis j'ai sélectionné "toujours approuver" au lieu de "réglages par défaut", ça fonctionne nickel !
J'ai testé avec le navigateur Opera Version 63.0.3368.94 qui n'allait plus sur certains sites depuis ce soir, maintenant il y retourne sans problème !
Merci les gars, ça fait plaisir de trouver des solutions, alors qu'on veut nous faire acheter des nouvelles machines, pas question, tant que mon ordi fonctionne je n'achète rien de nouveau

 

[LudoKA]

Oui, je confondais avec des certificats d'un autre niveau.

M'enfin, si tu regardes les dates d'expiration prochaine des autres certificats, tu en as encore trois qui vont y passer avant la fin de 2021, et trois autres sur 2022.

Cela n'a rien d'exceptionnel. On a eu la même situation avec Snow, Lion, Mountain et Mavericks. Essaye de naviguer avec Safari sur ces systèmes et tu n'iras pas loin sur la toile.

Regarde ce site avec Safari 11 (El Capitan) : https://www.techspot.com/

Tu te fais jeter. Alors qu'avec Firefox esr 78 ou Opera 79, ça passe crème.

Mail ça peut coincer un jour avec certains serveurs, Google notamment qui met des ambuches de sécurité à tous les niveaux, mais Transmission c'est peu probable.

Merci pour ce message rassurant.

En classant par date, seul IdentTrust DST Root CA X3 expire en 2021.

Sinon, en relisant le lien français proposé par l'article, j'ai poursuivi vers le lien anglais, a priori plus à jour https://letsencrypt.org/certificates/ qui propose directement le certificat auto signé en pem https://letsencrypt.org/certs/isrgrootx1.pem .
En cliquant dessus Firefox m'a proposé de l'ouvrir directement dans Trousseaux d'accès, j'ai choisi Système pour la destination et ça a fonctionné : le certificat est affiché comme valide.

En fait, ma manip précédente avait importé ISRG Root X1 dans session où il était toujours et affiché comme invalide, je l'ai viré.

Comme je ne maîtrise pas ces certificats qui fonctionnent depuis toujours sans mon intervention, je craignais que ça impacte mon accès internet pour d'autres applications que Firefox (Mail, Transmission, etc.).

Merci pour l'information; J'ai réussi à régler le problème sur mon MAC LION de 2012. Je croyais que c'était la fin. Tôt ou tard il faudra bien que je change d'ordi. Merci.

 

[Drina]

Bonjour à tous,

Mon fidèle Macbook Air tourne avec Mavericks (10.9.5) et jusqu'à ce matin tôt, aucun souci, je croyais avoir échappé au problème du vieux certificat.
Mais depuis deux heures, plus de connexion de certaines adresses de messagerie (dont Gmail) dans le programme Mail, ni avec certains sites sur Safari (Netflix par exemple), j'en déduis donc que le problème est bel et bien là (pourquoi aujourd'hui et pas hier, mystère et boule de gomme...).

Niveau navigateur, j'utilise surtout Firefox mais pour les mails, je suis vraiment dans la m… :/
J'aurais bien fait le changement de certificat conseillé ici mais je ne trouve nulle part le fameux IdentTrust DST Root CA X3 dans mon trousseau…

Pour info, Mail ne renvoie aucun message d'erreur, il se contente de ne pas se connecter aux serveurs…

Est-ce que quelqu'un a une idée ?

Merci d'avance !

 

[Drina]

Rectification, les boîtes Gmail fonctionnent, ce sont les messageries que j'ai avec Ionos (ex 1and1) qui ne connectent pas et certains sites sur Safari.