logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 20-08-2016 10:16:24

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

[Résolu] Certificat Let's Encrypt et Thunderbird

Bonjour, smile

J'ai suivi ce tuto https://mondedie.fr/viewtopic.php?id=5750 et j'ai installé Let's Encrypt (partie "Bonus - Mettre en place un certificat signé et valide avec Let's Encrypt" vers le bas de la page)

J'ai testé les certificats pour mondomaine.com (qui est aussi le nom de domaine du serveur mail) et ça fonctionne très bien, je peux y accéder en https sans avoir de problème de certificats obsolette/dangereux smile

Par contre, quand je souhaite me connecter avec Thunderbird il m'oblige à mettre une exception de sécurité hmm
629108mail01.jpg
----------------
Si j'essaye d’obtenir le certificat j'ai ce message (surligné en rouge)
328721mail02.jpg

ps : Le serveur mail fonctionne, si je confirme l'exception je peux recevoir/envoyer.

Je pense avoir correctement suivi le tuto, j'ai cependant dû faire un choix à un moment qui n'était pas précisé sur le site. Lors de la génération des certificats avec la commande :

./letsencrypt-auto certonly --rsa-key-size 4096 -d mondomaine.com --email contact@mondomaine --agree-tos


J'ai eu ceci :
225281encrypt.jpg
et j'ai choisi Apache WebServer

C'est ce qui expliquerait mon problème de certificat sur le client thunderbird ?

Merci smile

Dernière modification par Xunil (27-08-2016 06:53:13)

Hors ligne

#2 23-08-2016 17:22:32

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Bonjour,

En cherchant à résoudre mon problème, je suis tombé sur ça : https://letsencrypt.org/docs/faq/

Does Does Let’s Encrypt issue certificates for anything other than SSL/TLS for websites?

Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.

Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue. issue certificates for anything other than SSL/TLS for websites?

Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.

Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.


Est-ce que, comme moi, vous comprenez que Let’s Encrypt ne fonctionne pas pour les mails ? Ce qui expliquerait le problème de certificat dans Thunderbird ?
Mais ça m'étonne quand même hmm

Hors ligne

#3 24-08-2016 05:31:24

Dunatotatos
Invité

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Non non, le problème n'est pas là. Letsencrypt fonctionne très bien pour les mails.
Le certificat utilisé ici est valable pour mondomaine.com, mais pas pour imap.mondomaine.com.
Il faut donc :
* soit changer la configuration du client de messagerie pour se connecter à mondomaine.com au lieu de imap.mon...
* soit générer un nouveau certificat qui gère aussi imap.mondomaine.com et smtp.mondomaine.com.

EDIT : Une précision sur "Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue." :
Il s'agit du chiffrement et de la signature de mail, généralement effectués grâce à GPG. Rien à voir avec un tunnel SSL/TLS.

Dernière modification par Dunatotatos (24-08-2016 05:32:49)

#4 24-08-2016 14:41:17

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Bonjour,

Merci pour ta réponse.

J'ai recréer un certificat qui contient à la fois :


Mais j'ai toujours le même message :s "le certificat appartient à un site différent..." "Confirmer l'exception de sécurité..."

Dernière modification par Xunil (24-08-2016 14:43:18)

Hors ligne

#5 24-08-2016 14:53:39

Dunatotatos
Invité

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Es-tu sûr d'avoir configuré Dovecot correctement ? J'ai l'impression que l'authentification se fait avec un certificat par défaut.
Si tu cliques sur "Obtenir le certificat", puis "Voir", as-tu plus de détails ?

#6 24-08-2016 15:33:46

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Dans mon fichier /etc/dovecot/conf.d/10-ssl.conf j'ai :

ssl_cert = </etc/letsencrypt/live/mondomaine.com/fullchain.pem
ssl_key  = </etc/letsencrypt/live/mondomaine.com/privkey.pem


Dans mon fichier /etc/postfix/main.cf j'ai :

#smtp_tls_CAfile               = /etc/letsencrypt/live/mondomaine.com/chain.pem       <--- j'ai vu 2 configs
smtp_tls_CAfile                = /etc/letsencrypt/live/mondomaine.com/fullchain.pem   <--- différentes
smtpd_tls_cert_file            = /etc/letsencrypt/live/mondomaine.com/cert.pem
smtpd_tls_key_file             = /etc/letsencrypt/live/mondomaine.com/privkey.pem



Le certificat dans Thunderbird :
504232cert.jpg

Merci

Dernière modification par Xunil (24-08-2016 15:34:21)

Hors ligne

#7 24-08-2016 17:07:15

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

J'ai trouvé ceci : http://www.dovecot.org/pipermail/doveco … 88881.html

After doing a bit more research, it looks like it's failing because
Thunderbird doesn't prompt to accept the self-signed certificate
during the "auto config" part of the setup, so just falls back to
using port 143.

Although I think it's still using TLS on 143.


J'ai donc fait la configuration manuelle, à vrai dire j'ai juste changé le port 143 -> 993
812461thunderbird.jpg

Ça fonctionne... smile

Cependant je m'interroge sur cette recherche automatique de config de Thunderbird, pourquoi choisi t-il le port 143 (imap) par défaut ?
Comment forcer (sur le serveur) le 993 (imap sécurisé) ?
C'est assez gênant côté utilisateur si Thunderbird ne trouve pas les bons paramètres du serveur (ou si le serveur n'envoie pas la bonne config)


Merci

Dernière modification par Xunil (24-08-2016 17:07:34)

Hors ligne

#8 24-08-2016 18:04:55

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

En fait non, ça ne fonctionne pas.

Lorsque je ré-ouvre Thunderbird il me redemande l’exception de certificat mais - cette fois ci - pour le port 993 (et plus 143)...
762642993.jpg
Toujours en disant que le certificat appartient à un site différent...

Je sais plus trop qui faire... hmm


note : Quand j'enlève le port dans l'adresse, le certificat est bon et il me dit qu'il n'y a pas le lieu de mettre un exception, je fais donc "cancel" (seule option possible) et il me rebalance la même fenêtre juste après la fermeture neutral

Dernière modification par Xunil (24-08-2016 18:07:11)

Hors ligne

#9 25-08-2016 07:58:11

Dunatotatos
Invité

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Ne joue pas avec les ports, ça ne sert à rien. C'est manifestement un mauvais certificat qui est délivré. Peux-tu nous donner la sortie de :

openssl x509 -in /etc/letsencrypt/live/mondomaine.com/fullchain.pem -noout -text



En particulier, regarde si dans la section X509v3 extensions > X509v3 Subject Alternative Name, tu as bien l'adresse en imap...

#10 27-08-2016 06:52:49

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Bonjour,

Merci pour ta réponse, elle m'a aidé à y voir plus clair.

J'ai eu de nombreux problèmes et j'ai décidé de supprimer let's encrypt puis de le réinstaller.

J'ai déclaré tous les sous domaines possibles en même temps : imap.mondomaine.com,  www.mondomaine.com,  smtp.mondomaine.com,  autrechose.mondomaine.com, ...
et maintenant Thunderbird ne me demande plus rien smile

Merci

Hors ligne

#11 27-08-2016 17:36:32

Dunatotatos
Invité

Re : [Résolu] Certificat Let's Encrypt et Thunderbird

Certainement un souci à la déclaration des noms de domaines lors de la création du certificat. Tant mieux si c'est résolu smile

Pied de page des forums