Bonjour
J'ai importé récemment un certificat ssl issu de chez Digicert sur mon hébergement mutualisé. Il m'a été remonté qu'il manquait le certificat intermédiaire.
J'ai donc demandé à mon fournisseur de certificat le certificat intermédiaire et j'ai ensuite dû supprimer le certificat existant pour pouvoir l'importer de nouveau. Malheureusement lors de ce nouvel import, j'ai l'erreur "Unable to fetch SAN(s) on ssl certificate". Cela se produit avec ou sans le certificat intermédiaire, alors que le même couple certificat/clé privé n'avait posé aucun problème il y a moins d'un mois …
Si quelqu'un a une piste je suis preneur.
Merci par avance
> Il m'a été remonté qu'il manquait le certificat intermédiaire.
par qui? comment?
> j'ai ensuite dû supprimer le certificat existant pour pouvoir l'importer de nouveau.
chez Ovh, ça semble difficile de supprimer, tu es certain de l'avoir supprimé
quel site à tester?
> j'ai l'erreur "Unable to fetch SAN(s) on ssl certificate".
https://docs.digicert.com/manage-certificates/reissue-ssltls-certificate/add-sans-your-multi-domain-ssltls-certificate/
Merci pour ton retour
[quote]par qui? comment?[/quote]
Par le service info qui gère tous les aspects sécurité par le biais d'un rapport du site https://www.sslshopper.com/ssl-checker.html
[quote]chez Ovh, ça semble difficile de supprimer, tu es certain de l'avoir supprimé
quel site à tester?[/quote]
Pas de soucis particulier pour supprimer un certificat, il a l'option adéquat dans l'administration. Je n'ai malheureusement pas de site à tester, celui sur lequel je travaille étant du coup hors service sans certificat
[quote]https://docs.digicert.com/manage-certificates/reissue-ssltls-certificate/add-sans-your-multi-domain-ssltls-certificate/[/quote]
Les sans sont bien présents dans le certificat, je les extraits sans soucis en ligne de commande avec openssl…
on parle de quel domaine?
1services.fr?services.fr?
Oui c'est bien ça
donc ssslchopper est ok avec ça mais le site est down, voir Akamai
le site n'est pas sur Ovh
le certificat contient seulement www.1services.frservices.fr (il manque donc le SAN 1services.frservices.fr)
1services.frservices.fr pointe le cluster23 (hébergement start10M?) pour faire une redirection sur www
donc si tu importes ce certificat sur Ovh, il est normal qu'il y ait une erreur pour le domaine root
corriger l'OV digicert?
ou se contenter d'un DV let's encrypt pour la redirection?
Oui le site est down car on doit valider le certificat avec Akamai et pour l'instant il n'y en a pas (on a celui par défaut d'ovh, logique)<br /><br />Transfo-services-france.fr redirige sur transfo-services.fr qui est en multi site sur le même hébergement (cluster23)<br /><br />Par contre quand j'extrait les données du certificat pour récupérer les SANs (openssl x509 -noout -text -in) j'obtiens bien : DNS:www.transfo-services.fr, DNS:transfo-services.fr, DNS:www.transfo-services-france.fr, DNS:transfo-services-france.fr, DNS:transfoservices.fr, DNS:www.transfoservices.fr<br /><br />Je ne comprends toujours pas pourquoi aujourd'hui ce certificat ne passe pas alors qu'il est passé fin aout ...
ah ok, akamai ne sert pas le certificat?
> par contre quand j'extrait les données du certificat pour récupérer les SANs
moi je ne le vois pas dans celui qui est actuellement servi en ligne
je vois seulement www.transfoservices.fr et www.1services.frservices.fr
pour celui que tu as je te fais confiance
mais j'en reviens à ma remarque initiale, sur Ovh un certificat externe c'est compliqué, notamment sa suppression semble t il, lu ici
alors quand tu dis l'avoir supprimé, il faut vérifier la suppression immédiate
( `nmap -p 443 --script ssl-cert www.1services.fr` services.fr`)
Apparemment Akamai fourni un certificat pour l'ip sur lequel pointe le dns, avant de renvoyer vers l'ip de l'hébergement
Je n'ai pas de lien sur le "lu ici", tu pourrais me remettre le lien s'il te plait ?
Un grand merci pour tes réponses et ton temps
> tu pourrais me remettre le lien s'il te plait ?
non, aperçu plusieurs fois, notamment sur les EV où Ovh attends l'expiration pour le supprimer effectivement
faire une recherche
côté akamai, tu es obligé de communiquer avec Ovh en https?
en http tout serait plus simple si akamai ne sait pas gérer le sectigo du cluster
si urgence, passer sur cloudFlare, gratuit ?
ou déménager ton wordpress ailleurs, j'ai encore installé un digicert dans souci vendredi?
MAIS
tu as un TTL bien trop haut: `43200`: propagation DNS jusqu'à 24h
tu devrais baisser à 3600 ou 600 pour être plus réactif si besoin de changer
Je n'ai pas la main sur le gestion d'akamai (comme sur toute la couche sécurité), ni sur le domaine final (1services.frservices.fr)
Le changement d'hébergement est en effet envisagé en dernier recours
Encore merci pour tes nombreux retours
il serai pourtant urgent de corriger le TTL par défaut du domaine… pour l'avenir
(cloudFlare est bien fonctionnel pour ce genre de souci)
est-ce que tu as résolu ton problème ? Nous avons le même genre de souci avec une manip que l'on fait régulièrement pour copier un certificat maison dans un hébérgement wordpress.
Pascal.
Bonjour,
Pour info exactement même problème aujourd'hui, que ce soit en passant par un import via le manager ou via l'API ovh.
Dans mon cas il s'agit d'un certificat wildcard. L'ancien certificat n'étant pas expiré, j'ai essayé de le rechargé de la même manière que l'année dernière, et même problème, même message d'erreur "Unable to fetch SAN(s) on ssl certificate". En attendant j'ai remis un lets encrypt mais c'est problématique.
Bonjour,
Nous rencontrons actuellement les mêmes problèmes d'import de certificat (GANDI pour notre part) sur des multisites OVH.
Tout à toujours correctement fonctionnait jusqu'à présent (cela fait 4 ans que nous effectuons cette manipulation de mise à jour de certificat SSL) je ne comprends toujours pas pourquoi du jour au lendemain cela ne fonctionne plus.
Seule réponse du support OVH (après 1 mois d'attente de réponse à notre ticket, merci la réactivité…), tout fonctionne chez nous donc c'est de votre côté que sa coince…
Nous gérons un grand nombre de site internet pour nos clients et ce problème va se reproduire pour l'ensemble d'eux à coup sûr.
Quelqu'un aurait-il eu plus d'info sur ce problème ?
Bonjour / Bonsoir,
Avez-vous trouvé la solution?.. Je suis face au même problème ! C'est la catastrophe…
Bonjour, LaurentD86.
Après avoir insisté auprès du support, celui-ci nous a informé qu'il y a effectivement un soucis d'importation de SSL externe et que le problème est en cours de correction par leur service expert.
Pour le moment nous fonctionnons avec le certificat gratuit Let's Encrypt en attendant que le problème soit résolu de leur côté.
Bonjour à tous,
Je suis dans le même cas et n'ai pas pu accéder à ce type de réponse d'OVH avec mon niveau de support standard…
@LaurentS39, ce serait super de nous dire dès que vous avez du neuf sur le sujet.
Merci d'avance.
Gérald
Bonjour,
Nous sommes aussi à un niveau de support standard, ce qui explique certainement les "quasi systématique" 2 semaines de délais (minimum) entre chacune des réponses reçu.
Cependant, je ne peux vous garantir qu'ils nous tiendront au courant lorsque le problème sera résolu et cela malgré notre demande en ce sens.
Quoiqu'il en soit, je posterai naturellement un message ici dans le cas où ils nous avertiront de la résolution de ce problème.
Si les délais vous semblent long, je vous conseille d'insister au niveau du support (en faisant référence à ce sujet), c'est ce qui a, pour notre part, fait réagir notre correspondant.
La dernière information reçu à ce sujet date du 07/12/2020 et est la suivante :
"Ce je vous affirmer que le souci n'est pas encore résolu.
Les traitements sont toujours en cours."
Laurent.
De mon côté, ils m'ont dit, après 15jours d'attente, tout va bien avec vos certificats Letsencrypt… alors que j'ai bien tout expliqué. A croire qu'ils ne lisent pas les demandes d'assistance ! Hallucinant !
Le support payant serait-il de meilleur qualité ou plus réactif?