Erreur : Unable to fetch SAN(s) on ssl certificate

> Il m'a été remonté qu'il manquait le certificat intermédiaire.

par qui? comment?

> j'ai ensuite dû supprimer le certificat existant pour pouvoir l'importer de nouveau.

chez Ovh, ça semble difficile de supprimer, tu es certain de l'avoir supprimé
quel site à tester?

> j'ai l'erreur "Unable to fetch SAN(s) on ssl certificate".

https://docs.digicert.com/manage-certificates/reissue-ssltls-certificate/add-sans-your-multi-domain-ssltls-certificate/

Merci pour ton retour

[quote]par qui? comment?[/quote]
Par le service info qui gère tous les aspects sécurité par le biais d'un rapport du site https://www.sslshopper.com/ssl-checker.html

[quote]chez Ovh, ça semble difficile de supprimer, tu es certain de l'avoir supprimé
quel site à tester?[/quote]
Pas de soucis particulier pour supprimer un certificat, il a l'option adéquat dans l'administration. Je n'ai malheureusement pas de site à tester, celui sur lequel je travaille étant du coup hors service sans certificat

[quote]https://docs.digicert.com/manage-certificates/reissue-ssltls-certificate/add-sans-your-multi-domain-ssltls-certificate/[/quote]
Les sans sont bien présents dans le certificat, je les extraits sans soucis en ligne de commande avec openssl...

on parle de quel domaine?
1services.fr?services.fr?

Oui c'est bien ça

donc ssslchopper est ok avec ça mais le site est down, voir Akamai
le site n'est pas sur Ovh

le certificat contient seulement www\.1services.frservices.fr (il manque donc le SAN 1services.frservices.fr)

1services.frservices.fr pointe le cluster23 (hébergement start10M?) pour faire une redirection sur www

donc si tu importes ce certificat sur Ovh, il est normal qu'il y ait une erreur pour le domaine root

corriger l'OV digicert?
ou se contenter d'un DV let's encrypt pour la redirection?

```text Oui le site est down car on doit valider le certificat avec Akamai et pour l'instant il n'y en a pas (on a celui par défaut d'ovh, logique)

Transfo-services-france.fr redirige sur transfo-services.fr qui est en multi site sur le même hébergement (cluster23)

Par contre quand j'extrait les données du certificat pour récupérer les SANs (openssl x509 -noout -text -in) j'obtiens bien : DNS:www.transfo-services.fr, DNS:transfo-services.fr, DNS:www.transfo-services-france.fr, DNS:transfo-services-france.fr, DNS:transfoservices.fr, DNS:www.transfoservices.fr

Je ne comprends toujours pas pourquoi aujourd'hui ce certificat ne passe pas alors qu'il est passé fin aout ... ```

ah ok, akamai ne sert pas le certificat?

> par contre quand j'extrait les données du certificat pour récupérer les SANs

moi je ne le vois pas dans celui qui est **actuellement** servi en ligne
je vois seulement www\.transfoservices.fr et www\.1services.frservices.fr

pour celui que tu as je te fais confiance

mais j'en reviens à ma remarque initiale, sur Ovh un certificat externe c'est compliqué, notamment sa suppression semble t il, lu ici
alors quand tu dis l'avoir supprimé, il faut vérifier la suppression **immédiate**

( `nmap -p 443 --script ssl-cert www.1services.fr` services.fr`)

Apparemment Akamai fourni un certificat pour l'ip sur lequel pointe le dns, avant de renvoyer vers l'ip de l'hébergement

Je n'ai pas de lien sur le "lu ici", tu pourrais me remettre le lien s'il te plait ?

Un grand merci pour tes réponses et ton temps

> tu pourrais me remettre le lien s'il te plait ?

non, aperçu plusieurs fois, notamment sur les EV où Ovh attends l'expiration pour le supprimer effectivement
faire une recherche

côté akamai, tu es obligé de communiquer avec Ovh en https?
en http tout serait plus simple si akamai ne sait pas gérer le sectigo du cluster

si urgence, passer sur cloudFlare, gratuit ?

ou déménager ton wordpress ailleurs, j'ai encore installé un digicert dans souci vendredi?

MAIS
tu as un TTL bien trop haut: `43200`: propagation DNS jusqu'à 24h
tu devrais baisser à 3600 ou 600 pour être plus réactif si besoin de changer

Je n'ai pas la main sur le gestion d'akamai (comme sur toute la couche sécurité), ni sur le domaine final (1services.frservices.fr)

Le changement d'hébergement est en effet envisagé en dernier recours

Encore merci pour tes nombreux retours

il serai pourtant urgent de corriger le TTL par défaut du domaine... pour l'avenir
(cloudFlare est bien fonctionnel pour ce genre de souci)

est-ce que tu as résolu ton problème ? Nous avons le même genre de souci avec une manip que l'on fait régulièrement pour copier un certificat maison dans un hébérgement wordpress.

Pascal.

Bonjour,
Pour info exactement même problème aujourd'hui, que ce soit en passant par un import via le manager ou via l'API ovh.

Dans mon cas il s'agit d'un certificat wildcard. L'ancien certificat n'étant pas expiré, j'ai essayé de le rechargé de la même manière que l'année dernière, et même problème, même message d'erreur "Unable to fetch SAN(s) on ssl certificate". En attendant j'ai remis un lets encrypt mais c'est problématique.

Bonjour,
Nous rencontrons actuellement les mêmes problèmes d'import de certificat (GANDI pour notre part) sur des multisites OVH.

Tout à toujours correctement fonctionnait jusqu'à présent (cela fait 4 ans que nous effectuons cette manipulation de mise à jour de certificat SSL) je ne comprends toujours pas pourquoi du jour au lendemain cela ne fonctionne plus.

Seule réponse du support OVH (après 1 mois d'attente de réponse à notre ticket, merci la réactivité...), tout fonctionne chez nous donc c'est de votre côté que sa coince...

Nous gérons un grand nombre de site internet pour nos clients et ce problème va se reproduire pour l'ensemble d'eux à coup sûr.

Quelqu'un aurait-il eu plus d'info sur ce problème ?

Bonjour / Bonsoir,

Avez-vous trouvé la solution?.... Je suis face au même problème ! C'est la catastrophe...

Bonjour, LaurentD86.
Après avoir insisté auprès du support, celui-ci nous a informé qu'il y a effectivement un soucis d'importation de SSL externe et que le problème est en cours de correction par leur service expert.

Pour le moment nous fonctionnons avec le certificat gratuit Let's Encrypt en attendant que le problème soit résolu de leur côté.

Bonjour à tous,
Je suis dans le même cas et n'ai pas pu accéder à ce type de réponse d'OVH avec mon niveau de support standard...
@LaurentS39, ce serait super de nous dire dès que vous avez du neuf sur le sujet.
Merci d'avance.
Gérald

Bonjour,
Nous sommes aussi à un niveau de support standard, ce qui explique certainement les "quasi systématique" 2 semaines de délais (minimum) entre chacune des réponses reçu.

Cependant, je ne peux vous garantir qu'ils nous tiendront au courant lorsque le problème sera résolu et cela malgré notre demande en ce sens.

Quoiqu'il en soit, je posterai naturellement un message ici dans le cas où ils nous avertiront de la résolution de ce problème.

Si les délais vous semblent long, je vous conseille d'insister au niveau du support (en faisant référence à ce sujet), c'est ce qui a, pour notre part, fait réagir notre correspondant.

La dernière information reçu à ce sujet date du **07/12/2020** et est la suivante :
"_Ce je vous affirmer que le souci n'est pas encore résolu._
_Les traitements sont toujours en cours._"

Laurent.

De mon côté, ils m'ont dit, après 15jours d'attente, tout va bien avec vos certificats Letsencrypt... alors que j'ai bien tout expliqué. A croire qu'ils ne lisent pas les demandes d'assistance ! Hallucinant !

Le support payant serait-il de meilleur qualité ou plus réactif?

Hourra, Je viens d’avoir une info sur mon ticket d’assistance qui annonce que le problème d’import de certificats serait réglé...
Je teste cela cette nuit pour ma part ...
Entre temps si l’un d’entre vous y parvient ... prévenez -nous!

Laurent D

je confirme, j'ai aussi eu le message.
Je viens de :
1. supprimer le SSL Let'S Encrypt
2. désactivé le SSL sur le multisite
3. patienté...
4. installé le certificat externe
BINGO !
C'est passé :)

3 ans après mon post précédent, j'ai à nouveau le même problème !
J'ai eu le support qui n'a pas pu apporter de réponse immédiate.
J'ai tenté de procédé comme j'avais indiqué en déc 2020... mais en vain.
Je vais recommencer, attendre davantage (ma patience a diminué avec l'âge...)

Bonjour Gerald,

Avez-vous pu trouver une solution ?
De mon côté, j'ai le même souci pour importer un certificat Certigna. J'obtiens l'erreur "error check SAN from certificate".

Je suis sur du multisite avec un domaine n'ayant pas le SSL activé (et donc le SAN n'est pas défini dans le certificat car ne sera pas utilisé).

Merci !

Bonjour Matthieu,
J'ai tourné en rond avec le support depuis le 05/02/2024 quand j'ai ouvert le ticket.
Ce jour, la réponse est la suivante :
"Cette erreur est causée par le fait que le sous-domaine xxx inclut dans le SAN du certificat ne pointe pas vers l'IP de l'hébergement OVH".
Or, chez moi, le sous-domaine est hébergée sur un autre serveur et le certificat doit bien l'embarquer.
Je me suis évertué de leur expliqué que "ça fonctionne comme ça depuis près de 5 ans et je n'ai jamais eu ce blocage" mais rien à faire...
La solution qui m'a été donnée est d'activer le certificat Let's Encrypt pour l'hébergement OVH et d'installer le certificat sur le serveur du sous-domaine xxx.
On marche un peu sur la tête mais je n'ai apparemment pas d'autres alternatives.

Bonjour Gerald,

Merci pour votre réponse!
J'ai également eu un retour du support. Mon certificat contient des sous-domaines qui ne sont pas hébergés chez OVH. Or d'après le support, il est nécessaire que tous les SANs définis dans le certificat soient déclarés coté OVH. Il faudrait que le certificat contienne uniquement les sous-domaines définis côté OVH. Je ne comprends pas trop leur logique..