CO-piBot: return = 48 : CHAIN SIGNATURE NOT MATCHING CERT
Chaine de certification discordante avec l'algorithme de hashage du certificat (SHA1 / SHA256+)
L'algorithme de hachage (MD5, SHA, SHA256, ...) utilisé par les autorités de certification pour signer votre certificat n'est pas concordant
avec ceux des certificats de votre chaine de certification.
C'est à dire que votre serveur présenterait, parmi les certificats de votre chaine de certification, un ou plusieurs certificat(s) signé(s) avec un autre algorithme de hashage, par exemple :
ENTITÉ FINALE : www.mon-domaine-à-sécuriser.fr | SHA256 avec RSA |
INTERMÉDIAIRE 1 : TBS X509 CA business 2 | SHA384 avec RSA |
INTERMÉDIAIRE 2 : USERTrust RSA Certification Authority | SHA384 avec RSA |
RACINE : AddTrust External CA Root | SHA1 avec RSA |
Conséquences : HTTPS barré en rouge
Cette mauvaise installation / configuration sur votre serveur peut afficher sur certain navigateurs comme Google Chrome un message d'alerte, voir même le HTTPS barré en rouge directement dans la barre d'URL.Solution
- Si vous avez fait un renouvellement ou une re-fabrication récemment,
vous avez probablement oublié d'installer la nouvelle chaine de certification associée a votre nouveau certificat.
Il est indispensable de mettre le certificat le plus récent avec sa chaine de certification.
Suivez nos instructions d'installation.
Exemples de cas courants :
- Installer les certificats intermédiaires ou racine manuellement sur windows
Sur les plates-formes microsoft, vous n'avez peut-être pas importé le fichier .p7b (#PKCS7) que nous vous avons fournis mais seulement le certificat seul au format .CER / PEM.
Il faut alors importer manuellement la chaine de certification associée à votre certificat, documentation décrite ici. - Installer un certificat et la chaine de certification sur Apache
- Installer les certificats intermédiaires ou racine manuellement sur windows
- Avez-vous oublié d'activer le nouveau certificat pour les différents services / protocole de votre serveur de messagerie Exchange ou ReverseProxy / Pare-Feu (VPN). En effet sur certains serveurs / interfaces de sécurité, par défaut un certificat auto-signé est installé, lors de l'installation de votre certificat il faut l'associer aux différents services souhaité en remplaçant l'ancien certificat. Consultez la documentation de votre serveur ou interface.
- Sinon, votre serveur est probablement mal configuré et le certificat présenté n'est pas le bon. Si vous avez plusieurs certificats, les auriez-vous mélangés ? Le pointage DNS est-il correct ?
- Votre infrastructure réseaux est constitué d'un répartiteur de charge ou d'un reverse proxy, avez vous installé votre certificat sur le bon serveur ou la bonne interface ?
- Vous avez acheté plusieurs certificats avec le même CN / FQDN (Adresse internet) inscrit dedans. Il est alors probable que notre outil de test effectue ses tests sur le mauvais serveur : Contrôler l'adresse IP de connexion et le numéro de série associé à votre certificat
Liens utiles
- Tout sur les algorithmes de hachage SHA1, SHA2 et le SHA256
- SHA1 : Dépréciation de l'algorithme SHA1 prévue en 2015, 2016, 2017 ?
- Disparition de SHA1 : quelle est la situation ?
- Navigateurs supportant les certificats SSL avec l'algorithme de hachage SHA256
- Serveurs supportant les certificats SSL avec l'algorithme de hachage SHA256
- Mettre plusieurs certificats SSL sur la même machine / IP : TLS SNI
- Générer un CSR en SHA256
- Certificats intermédiaires
- Certificats racines (présents dans les navigateurs)
- Desactiver la racine Thawte PCA (2036)
- Desactiver la racine VeriSign Class 3 Public Primary Certification Authority - G5 (2036)
Messages d'erreurs parfois rencontrés dans un navigateur
- L'identité de ce site Web a été validée par xxx, mais il ne possède pas de certificat de clé publique.
- Mozilla Firefox 37.0.1+ : Échec de la connexion sécurisée
Vérifiez l'installation de votre certificat grâce à CO-PiBot :
Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.
Dernière modification le 11/05/2020 14:30:28 --- [Chercher]