Menu
picture of tbs certificates
picture of tbs certificates
 
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Désactiver la racine COMODO RSA Certification Authority (2038)

Les recommandations de cette page ne sont plus d'actualité. Cette racine est la racine d'émission Comodo actuelle. Cette solution n'est à utiliser qu'en cas de problème de compatibilité.

Certains produits Microsoft (notamment les serveurs IIS) ont une autorité de certification Racine nommée "COMODO RSA Certification Authority" expirant en 2038 qui interfère avec le certificat intermédiaire du même nom mais expirant en 2020.

Le symptôme se matérialise par un échec au test réalisé par CO-piBot (Tester un certificat serveur en ligne) bien qu'une chaine de certification ait bien été installée. Le souci ici c'est qu'au lieu d'utiliser le certificat intermédiaire "COMODO RSA Certification Authority (2020)", le serveur envoie le certificat racine "COMODO RSA Certification Authority (2038)".

Pour régler ce souci, il faut aller désactiver le certificat racine problématique, et désactiver la mise à jour automatique des autorités de certification (voir Désactiver la mise à jour des autorités de certification sur Windows 2003 et 2008).

Désactiver la racine COMODO RSA Certification Authority (2038)

1- Lancez la MMC

  • Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
  • Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
  • Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
  • Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
  • Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
  • Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Localisez le certificat à désactiver

  • déployer la hiérarchie pour aller dans Certificats (ou Certificates)
    puis Certificats d'autorités racines de confiance (ou Trusted Root Certification Authorities)
  • dans la liste, trouvez le certificat
    	Common Name - COMODO RSA Certification Authority
    	Expiry Date - 18th January 2038
    	Thumbprint - AF:E5:D2:44:A8:D1:19:42:30:FF:47:9F:E2:F8:97:BB:CD:7A:8C:B4
    	
  • Désactivez le certificat en faisant un clic-droit, puis propriétés
  • Dans la zone Rôles du certificat / Certificate purposes,
    placez la coche sur Désactiver tous les rôles pour ce certificat / Disable all purposes for this certificate
  • Cliquez sur OK. Vous pouvez désormais fermer la MMC.

3- Relancez le serveur

Sous IIS6, arrêter et démarrer le site web peut suffir (stop puis start), mais plus généralement, il faut redémarrer la machine. Faites d'abord un stop / start, testez votre certificat avec CO-piBot (Tester un certificat serveur en ligne), et si cela ne fonctionne pas, rebootez la machine.

Si malgré tout ceci, cela ne fonctionne pas, reprenez à l'étape 2 en supprimant cette fois-ci la racine COMODO RSA Certification Authority et rebootez. L'expérience montre que c'est souvent la seule solution.

4- Vérifiez l'installation de votre certificat grâce à CO-PiBot :

Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, Vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.

Sinon testez / vérifier avec notre outils mis à votre disposition, CoPiBot :
https://www.tbs-internet.com/php/HTML/testssl_verif.php

Liens utiles