Suivre

@aeris Sous Nginx, ssl_trusted_certificate doit avoir en paramètre le chemin vers un fichier PEM contenant l'ensemble de la chaîne du certificat ? Donc le certificat de Let's Encrypt, l'intermédiaire et celui du domaine cible s'est bien ça ? 🤔

@Qwaser On évite généralement de mettre la racine dedans, qui est supposé être dans le client.
Donc cert + intermédiaires uniquement.

@Qwaser Ah non pardon, ssl_trusted_certificate est uniquement utilisé pour vérifier les certificats clients, donc ça ne contient que les CA à considérer comme fiables.

@aeris D'accord, donc avec un certificat généré via Let's Encrypt on est d'accord que la finalité dans la configuration Nginx est la suivante ?
- ssl_certificate : fullchain.pem
- ssl_certificate_key : privkey.pem
- ssl_trusted_certificate : chain.pem

Comme je suis sur mon serveur pour les MAJ + MAJ Masto je voulais essayer de voir si mon erreur Firefox était lié une mauvaise implémentation de ssl_trusted_certificate justement 😉

@Qwaser trusted n’est pas utilisé dans 99.99% des cas.
Ça ne sert que si tu fais de l’authentification X.509 cliente.

@aeris Ah ! Donc je pourrais le retirer tout simplement ? Cela n'empêchera pas la vérification OCSP ? Car je pensais que ce paramètre était utile pour cela justement :)

@aeris Si je commente uniquement ssl_trusted_certificate, Nginx gueule lors d'un nginx -t 😂 Je suis obligé de commenter toute la partie OCSP pour que ça passe, mais du coup il n'y aura plus du tout de vérification OCSP là 🤔

@Qwaser Ah oui tient, c’est aussi utilisé pour OCSP… Les cons… Du coup met la CA de LE dedans.

@aeris Uniquement celui de Let's Encrypt donc, il s'agit de l'intermédiaire qu'on peut trouver ici : letsencrypt.org/certificates/ ? Mettre l'active et le backup peut être judicieux tu penses ? :)

@aeris Ah ! Donc le ISRG Root X1 (self-signed) ? 😉

@aeris J'ai effectué la modification, j'avais donc avant le certificat intermédiaire + le certificat du domaine dans le trusted 😉 Merci pour tes retours :)

Mais bon lors du premier accès au site après un reload ou restart d'Nginx Firefox gueule toujours 😂 Tant pis je pense qu'on ne peut rien y faire, je reload Nginx avec un script qui alimente le cache OCSP dans la foulée ^^

@aeris Je t'en avais déjà parlé, si je fais un reload/restart seul sans l'alimentation du cache OCSP, voici ce que j'ai lors du premier accès sous Firefox uniquement 😉

Inscrivez-vous pour prendre part à la conversation
Mastodon by Qwaser

Instance Mastodon personnelle de Qwaser mise en place sous Archlinux.