Bonjour
Depuis le renouvellement de certificat le 01/07 plusieurs iphone de ma société ne peuvent plus se connecter aux mails ovh exchange car la "vérification de l'identité du serveur est impossible". nous avons eu le même problème sur outlook (qui s'est résolu de lui même) mais pas sur les iphone comme un iphone 8 en os 16.7.11 utilisant le logiciel mail.
on est sur le serveur ex4 (nom de domaine tbcprod.com)
Merci de votre aide ou partage d'expérience.
36777 
25.10.2017 09:05
Bonjour,
Le sujet a été abordé hier . https://community.ovhcloud.com/community/fr/impossible-de-creer-compte-hosted-exchange-sur-android-qqu-soit-l-app-gmail?id=community_question&sys_id=0d831d8e4c6626981e11769ec8df91cd
C'est Sectigo qui fout le bord3I voici leur explication qui n'est pas compréhensible par Mr toutlemonde ou Mme Michou.
https://support.sectigo.com/IS_KnowledgeDetailPage?Id=kA0Uj0000004IrB
Voyez aussi https://www.sectigo.com/sectigo-public-root-cas-migration
While there are multiple options based on your ordering channel and customized settings, the following are presently, and until June 2, 2025, the default Root and Subordinate CA certificates:
For RSA based keys:
For ECC based keys:
Starting June 2, 2025 the default Root and Subordinate CA certificates will be:
For RSA based keys:
For ECC based keys:
Bonjour Merci de votre réponse. Je vais essayer de comprendre si cela peut fonctionner . En revanche, notre problème est avec des iPhones (et Mac) qui utilisent iOS. Pensez vous que la solution puisse se trouver exactement au même endroit?
Il faudrait faire digérer ces deux certificats par votre Mac ou iPhone:
Normalement Sectigo a pris des précautions en signant de manière croisée ses autorités de certification, et ce ne serait pas la première fois qu'on découvre que ce mécanisme est buggué et ne fonctionne pas sur certaines plateformes.
Piochez un peu dans les forums Apple ?
Je vais essayer avec ces certificats. Pas véritabelement trouvé de réponses dans les forum Apple. J'ai aussi écrit a Sectigo mais c'est un panier de crabe évidemment puisque je ne suis pas l'acquéreur directement du certificat etc.
Bonjour,
Pour informations, ces certificats sont mis à jour avec le système, par exemple pour iOS/macOS ils ont été intégrés au minimum dans la version 17.4 (15/11/2024) [source : https://support.apple.com/en-ke/121728].
Du coup la méthode la plus simple est de mettre à jour vos périphériques.
Note : sur ssllabs dans la section "Certification Paths" on constate bien qu'il y a plusieurs chemins de validation.
Note2 : la seule chose que pourrait faire OVH en plus c'est potentiellement rajouter un second intermédiaire cross-signé (exemple : https://crt.sh/?id=11405654893)
Cordialement, janus57
Bonjour
Merci de votre réponses. Les périphériques sont bien à jour même si tous les appareils ne sont pas derniers cris et ce serait vraiment incompréhensible que ce soit la raison (car effectivement avec les appareils très récents, pas de souci). Cela voudrait dire que le service Hosted exchange ne peut aujourd'hui fonctionner qu'avec du matériel neuf, ce qui serait juridiquement très limite. Toutcela ne change rien, il semble y avoir un vrai problème entre le certificat et OVH.
Bonjour,
"Cela voudrait dire que le service Hosted exchange ne peut aujourd'hui fonctionner qu'avec du matériel neuf"
=> rien à voir malheureusement, OVH n'est en rien responsable si une CA et/ou si les périphériques client ne sont pas à jour, dans votre cas Apple n'a pas jugé bon d'inclure ce certificat dans la version 16 d’iOS/macOS (à priori d'après https://support.apple.com/en-us/103100)
De plus là vous avez le problème avec OVH, mais le problème va se propager à mesure que les certificats SSL vont se faire renouveler sur les sites/serveurs/services.
Et cela peut se produire avec n'importe quelle CA qui fait un renouvellement de ces certificats (c'était le cas il y a quelques années avec Let's Encrypt).
Le certificat va très bien, celui-ci est bien valide avec de multiple "chain of trust", qui normalement le rend compatible, à condition que le périphérique/applicatif détecte bien les chemins alternatifs (ce qui dans votre cas ne semble pas le cas).
Cordialement, janus57
Bonjour
Merci à nouveau. Ce qui est néanmoins étrange c'est que cela fonctionne avec outlook par exemple mais pas avec mail ou calendrier...
Si je vous suis correctement, nous n'avons pas de solution à appliquer ou à trouver? A moins de convaincre Apple d'intégrer ce certificat dans ios 16 ou ovh d'ajouter un second intermédiaire ou encore de changer nos appareils?
Bonjour,
Si apple ne prévoit pas de mise à jour le plus "simple" est de trouver une procédure pour rajouter un certificat racine manuellement.
Car comme dit plus haut, là vous avez le soucis avec OVH, mais rien ne garantie que vous n'allez pas avoir le soucis avec d'autre sites/services
>Ce qui est néanmoins étrange c'est que cela fonctionne avec outlook par exemple mais pas avec mail ou calendrier...
Pas forcément, peut être que Outlook utilise son propre catalogue de certificat racine (pour justement éviter ce genre de cas ou l'OS ne connait pas le certificat).
Pour OVH peut être que quelqu'un de la Team OVH peut se pencher sur le cas, mais j'en doute qu'ils vont faire des modifications sur la partie certificat (cc@FabL ).
Cordialement, janus57
Oui je vois. J'ai depuis échangé avec Apple et Sectigo. Effectivement, une solution serait que Sectigo fournisse un certificat intermédiaire par exemple. J'attends la réponse de sectigo pour savoir si ce problème leur est connu et si ils ont une solution à proposer. pour moi cela concerne ovh pour une raison simple: c'est bien chez OVh que j'achète ce service et c'est ovh qui choisi Sectigo pour le certificat (d'ailleurs ce dernier me demande bien mon numéro de client etc etc ce que je n'ai évidemment pas) et doit donc a minima assurer une relation client ou une interface entre les deux. Si nous trouvons une solution, je la posterai ici. Cela peut servir.
Merci à vous en toit cas pour le temps et les explications