Expiration du certificat racine DST Root X3

Un certificat racine sur lequel se base let’s encrypt pour l’émission de certificat TLS a expiré le 30 septembre 2021 (plus d’infos ici). En principe pour la plupart des appareils et site cela ne doit pas poser de problèmes.

Cependant certains cas peuvent poser problème :

• appareils anciens ne gérant les chaînes de confiance complexes,
• certificat racine ISRG Root X1 absent du magasin de certificat du système d’exploitation.

Si vous rencontrez ce problème il faut commencer par vérifier que dernier certificat est bien présent sur votre ordinateur (bizarrement, même sur des postes en windows 10, ce problème peut être rencontré).

Pour cela, commencer par ouvrir le magasin de certificats utilisateur :

Le certificat DST Root X3 est probablement présent et vous pourrez constater sa date d’expiration au 30/09/2021. Ce certificat permet jusqu’ici à votre ordinateur de bien reconnaître les certificats TLS s’appuyant sur let’s encrypt.

Mais le certificat qui nous intéresse désormais est le ISRG Root X1 expirant en 2035. S’il n’est pas présent, il faut alors l’installer pour pouvoir naviguer de nouveau sur les sites qui sont bloqués sur votre ordinateur depuis le 30/09/2021.

Pour importer un certificat, il faut tout d’abord le récupérer sur un site de confiance (par exemple directement chez let’s encrypt), l’enregistrer n’importe où sur votre disque (le dossier téléchargement par défaut ira très bien). Ensuite, depuis le magasin de certificat, faire un clic-droit sur le dossiers « Certificats », puis « Toutes les tâches > Importer », cherchez alors le fichier isrgrootx1.pem précédemment téléchargé et terminer l’import en suivant les instructions des fenêtres de l’assistant.

Fermer et redémarrer toutes les fenêtres de votre navigateur (voire votre ordinateur), les sites bloqués devraient alors s’afficher à nouveau.

Une alternative est aussi d’utiliser Firefox qui intègre son magasin de certificat.