Comment valider un certificat avant l'expiration de IdentTrust DST Root CA X3

[The Jibest]

@Zammito

Si Yosemite, alors El Capitan doit aller.

Refait scrupuleusement les étapes du message #35, ça a fonctionné sur Leopard.

 

[Invité]

…
Donc c'est bien avec Firefox que je suis allé chercher le lien https://letsencrypt.org/certs/isrgrootx1.pem et Firefox m'a aussi proposé de le mettre dans les certificats, et en effet il faut choisir "Système" pour que tous les utilisateurs en profitent, ou "Session" pour un seul utilisateur, j'ai aussi choisi "Système".
Le certificat n'était pas validé, mais en ouvrant le certificat (double-clic) dans le trousseau j'ai déroulé le menu "se fier" puis j'ai sélectionné "toujours approuver" au lieu de "réglages par défaut", ça fonctionne nickel !
J'ai testé avec le navigateur Opera Version 63.0.3368.94 qui n'allait plus sur certains sites depuis ce soir, maintenant il y retourne sans problème !
Merci les gars, ça fait plaisir de trouver des solutions, alors qu'on veut nous faire acheter des nouvelles machines, pas question, tant que mon ordi fonctionne je n'achète rien de nouveau

Effectivement, je n'avais pas téléchargé avec FF et je n'avais pas réussi.
Là c'est bon

 

[StefL]

Navigateur : BRAVE (à jour) Système : El Capitan

Quelle galère... Je n'avais plus accès au site de France Inter (le seul site inaccessible pour l'instant) et en me renseignant, j'ai vu que c'était à cause de ce certificat expiré. J'ai tenté de télécharger le certificat pour le mettre dans le trousseau, le X1 (pas approuvé), le cross-signed (invalide), redémarrage, etc etc... Mais toujours pas de France Inter. Et puis j'ai tenté la manip de OldschoolPoitier : se fier / toujours approuvé. Et là miracle! Donc merci beaucoup.
Par contre j'ai quelques questions:
1) En plus de mon certificat "marqué comme fiable" qui expire en 2024, j'ai un doublon certificat ISRG Root X1 pas approuvé qui expire en 2035. Je peux le virer?
2) Auparavant j'avais regardé dans le trousseau mais comme Drina, je n'avais trouvé aucune trace du fameux IdentTrust DST Root CA X3 incriminé. C'est grave docteur?
3) Est-ce que les questions 1 et 2 ça craint niveau sécurité?

Merci

 

[Mister Ramac]

Bonsoir !

Je sais que le sujet de ce thread concerne (plutôt) El Capitan, mais... J'ai un vieil iPad 3 (oui-oui, qui fonctionne à merveille), qui se retrouve handicapé à cause de ce certificat expiré... Notamment l'application Podcast.

Si quelqu'un a des idées ou infos, je suis preneur (je n'ai rien trouvé de viable jusqu'ici).

Merci d'avance !

 

[Bertrand Labévue]

21,5 iMac mi-2010 / OS 10.11.6 / merci à tous, ça a débloqué mes accès internet !

Firefox 78.14.0 esr ne veut toujours pas fonctionner, mais c'était déjà le cas avant...

 

[baron]

1) En plus de mon certificat "marqué comme fiable" qui expire en 2024, j'ai un doublon certificat ISRG Root X1 pas approuvé qui expire en 2035. Je peux le virer?
2) Auparavant j'avais regardé dans le trousseau mais comme Drina, je n'avais trouvé aucune trace du fameux IdentTrust DST Root CA X3 incriminé. C'est grave docteur?

1) Bah non. Mieux vaudrait aussi l'approuver : tu seras tranquille plus longtemps…
2) Une fois expiré (le 30 septembre dernier), il a disparu de mon trousseau d'accès. Je présume que c'est du ménage automatique…

 

[StefL]

@baron : ah oui c'est probablement ça, vu que j'ai regardé après le 30! Merci

 

[magicmimi]

j'ai trouvé, je n'avais pas vu qu'il y avait une page 2 et 3

 

[love_leeloo]

https://letsencrypt.org/certs/isrgrootx1.pem

 

[magicmimi]

Bonjour,

J'ai eu le même problème hier avec mon MAC BOOK PRO LION de 2012. Voici ce que j'ai fait :

N° 1 - Ouvre le lien suivant dans ton navigateur FIREFOX : https://letsencrypt.org/certs/isrgrootx1.pem
N° 2 - Firefox va afficher un boite de dialogue " ouvrir avec KeychainAccess "
N°3 - Clique sur OK. Le certificat va se mettre dans le TROUSSEAU, attends quelques secondes et du devrais réussir à naviguer comme avant sur tes site.

Voici ma méthode. Utilise FIREFOX. Ne te tracasse pas à chercher manuellement le fameux certificat IdentTrust DST Root CA X3 dans ton trousseaux. Moi aussi j'ai cherché et j'ai rien trouvé.

Merci pour ce récapitulatif bien précis qui marche du tonnerre

 

[Invité]

Ah oui, effectivement ça fonctionne pour un vieux MB 2007 qui tourne avec Lion.
FF 45.9.0 et de nombreux sites sont de nouveaux accessibles.

 

[Drina]

Tu n'as absolument pas compris le sens de mon message
Je te disais que si tu voulais parler de mettre à jour ta machine, on pouvait en parler, mais pas dans ce fil.

pffffffffff

Au temps pour moi, en effet, j'avais compris ta réponse de travers, mea culpa... #boulet oo:

 

[dokey]

Je pense avoir finalement trouvé la solution pour valider le certificat DST Root CA X3 valide jusqu'en 2035!

• télécharger le certificat via le lien donné dans l'article de macg
• supprimer l'extension .txt pour conserver .pem
• double clic pour l'installer dans le trousseau "système"

Le certificat n'est pas validé.
-double clic sur le certificat dans le trousseau.

• dérouler le menu "se fier"
• sélectionner "toujours approuver" au lieu de "réglages par défaut"

Et hop on est tranquille jusqu'en 2035 avec nos "vieilles" bécanes que certains voudraient nous faire mettre à la poubelle.

Merci @OldschoolPoitiers !
Vous avez amenez la touche finalement à la résolution du problème découvert à partir du navigateur Brave.
Un utilisateur de la communauté propose cette méthode :

NET::ERR_CERT_DATE_INVALID Error on All Sites

Two ways: Check if automated root certificate update is turned off, if it is then turn it on. It will auto update the certificate. (In my case can’t find the automatic option) Export the ISGR Root X1 certificate from some other machine and install it in yours. (Export CA from Mozila...

community.brave.com

• Export ISGR Root X1 CA from Mozilla FireFox (settings->Manage certificates->view certificates->authorities->ISGR Root X1->export)
• Install it on Brave (brave://settings/security → Manage certificates → install).

Mais le blocage demeurait une fois le certificat ISGR Root X1 CA installé dans la Keychain Access de Mac OS X 11.11.6 El Captain .

La dernière étape que vous décrivez ci-dessus m'a permis de résoudre cette dernière étape.


J'espère que ça aidera aussi d'autres Old School OSXers !


Bien à vous.

 

[DomBO]

Merci The Jibest, je viens de tester cette manipulation dans le Trousseaux d'Accès de mon MacMini en OS 10.10.5 Yosemite, et ça fonctionne avec la manip de "OldschoolPoitiers" :
----------
Le certificat n'est pas validé.
-double clic sur le certificat dans le trousseau.

• dérouler le menu "se fier"
• sélectionner "toujours approuver" au lieu de "réglages par défaut"

----------
Maintenant le certificat indique qu'il est valide jusqu'au 4 juin 2035
Donc c'est bien avec Firefox que je suis allé chercher le lien https://letsencrypt.org/certs/isrgrootx1.pem et Firefox m'a aussi proposé de le mettre dans les certificats, et en effet il faut choisir "Système" pour que tous les utilisateurs en profitent, ou "Session" pour un seul utilisateur, j'ai aussi choisi "Système".
Le certificat n'était pas validé, mais en ouvrant le certificat (double-clic) dans le trousseau j'ai déroulé le menu "se fier" puis j'ai sélectionné "toujours approuver" au lieu de "réglages par défaut", ça fonctionne nickel !
J'ai testé avec le navigateur Opera Version 63.0.3368.94 qui n'allait plus sur certains sites depuis ce soir, maintenant il y retourne sans problème !
Merci les gars, ça fait plaisir de trouver des solutions, alors qu'on veut nous faire acheter des nouvelles machines, pas question, tant que mon ordi fonctionne je n'achète rien de nouveau

Bonjour, merci à tous, cette dernière solution est la bonne pour moi !
Sous El Capitan, j'ai double cliqué sur "se fier" et appliqué "toujours approuver" et ça fonctionne !
J'avais un problème ancien avec le site de l'ONU réputé "dangereux" par mon Chrome, avec le certificat "Comodo RSA". J'ai fait la même manip pour cette autre certificat dans le trousseau et l'ONU a cessé d'être dangereux.

 

[ADROSE]

Bonjour à tous,

Un immense merci pour toutes ces infos, j'ai un MBP 2012 qui tourne avec Yosemite. Et qui va parfaitement bien !
Suite aux pb limitant rencontrer sur le web dernièrement j'imaginer dépenser de grosses sommes pour installer un materiel plus performant afin de pouvoir passer à mojave, ou le faire faire, ou pire racheter un ordi plus recent.
Bref j'ai installé firefox (grace au lien de Moonwalker, parce que je n'arrivais pas à trouver une ancienne version compatible) et mes petits problèmes existentiel sont résolus.

Pour pouvoir peut être re utiliser chrome ou j'ai tous mes favoris, j'aimerais quand meme essayer de remplacer l'IdentTrust DST Root CA X3 par l'ISRG Root X1 comme conseillé ici, ou même plus haut dans ce sujet, mais j'ai du mal à comprendre la marche à suivre, mon niveau est des plus mauvais. Quelqu'un de patient est de très pédagogue pourrait il me donner les etapes point par point ?

D'autres part en regardant les certificats sur mon trousseau je vois que deux trucs expirent ce 15 decembre 2021, ça m'inquiète, à quoi ça correspond ?? (j'ai mis un fichier joint, j'espère que ça a fonctionné)


Milles merci

 

[maxou56]

j'imaginer dépenser de grosses sommes pour installer un materiel plus performant afin de pouvoir passer à mojave

Bonjour,
Grosse somme? C'est a dire, un SSD (MX500) pour 500GB ça ce trouve à 50€, et si tu as 4GB de RAM effectivement il vaut mieux minimum 8GB (la machine est compatible avec 16GB)

Ce Mac avec un SSD et 8GB de RAM fonctionne parfaitement sous Mojave 10.14 ou Catalina 10.15 (encore mis à jour 1an et safari à jour en version 15)

Mais pourquoi absolument Yosemite 10.10? Tu peux mettre par exemple ElCapitan 10.11, ou HighSIerra 10.13 (qui n'est pas trop lent sur disque dur classique).

 

[Invité]

Un peu la même opinion que maxou56, cet ordi tourne parfaitement avec Mojave si tu lui mets un SSD (ça se trouve vraiment à pas cher maintenant) et juste une autre barrette de Ram.
C'est la config du mien, un SSD et 10Go de Ram (une des barrette d'origine de 2Go et une autre de 8Go).

Sinon, même avec seulement 4Go et un SSD, c'est possible de mettre El Capitan

 

[ADROSE]

Bonjour,
Grosse somme? C'est a dire, un SSD (MX500) pour 500GB ça ce trouve à 50€, et si tu as 4GB de RAM effectivement il vaut mieux minimum 8GB (la machine est compatible avec 16GB)

Ce Mac avec un SSD et 8GB de RAM fonctionne parfaitement sous Mojave 10.14 ou Catalina 10.15 (encore mis à jour 1an et safari à jour en version 15)

Mais pourquoi absolument Yosemite 10.10? Tu peux mettre par exemple ElCapitan 10.11, ou HighSIerra 10.13 (qui n'est pas trop lent sur disque dur classique).

Bonjour Maxou56,
Pour le materiel j'ai regardé sur le site ifixit qu'un membre m'a conseillé, j'ai trouvé 16g de ram pour 119€, un ssd 500 compatible (je crois) à 139€.
Disons que je suis prête à mettre 200€ pour booster mon ordi.
Mais je n'me sens par contre pas tout a fait capable de faire le remplacement DD et de la ram seule ; et encore moins d'installer tout un système à partir d'un disque vierge, ni même de créer une clef bootable pour installer l'OS.
Je sais que ça doit paraitre ridicule pour des AS de l'ordi comme vous. J'ai surtout peur de me planter de me retrouver avec tout démonter et d'aller la queue entre les jambes chez l'informaticien pour qu'il rattrape mes innombrables conneries.

Je ne tiens pas absolument a Yosemite, c'est juste que c'est ce qui est installé sur mon ordi, et qu'il marche bien comme ça, alors pourquoi vouloir changer ??

Je n'y fait rien qui demande de la puissance, je surf beaucoup, j'archive et classe des données, un peu de retouche photoshop parfois, mais rien de bien méchant.
En réalité mes besoins sont faibles, je veux juste ne pas être black listé par une obsolescence programmé parce que je ne fais pas mes mises à jour et donc être limité dans les rares besoins connectés que j'ai : accès à des sites classiques par exemple...

 

[maxou56]

et juste une autre barrette de Ram.
C'est la config du mien, un SSD et 10Go de Ram (une des barrette d'origine de 2Go et une autre de 8Go).

Il vaut mieux quand même 2 barrettes de même capacité. Sinon la bande passante est divisé par 2. Et pour l’iGPU « HD4000 » c’est pas forcément top.

Pour le materiel j'ai regardé sur le site ifixit qu'un membre m'a conseillé, j'ai trouvé 16g de ram pour 119€, un ssd 500 compatible (je crois) à 139€.

C’est bien un MBP 2012 13pouces non Retina? Si oui n’importe quel SSD SATA3 est compatible. Par exemple un crucial mx500 de 500GB c’est 50-60€, pour la RAM oui c’est sans doute le plus cher surtout pour 16GB, soit 2*4GB ou 2*8GB.

 

[ADROSE]

Il vaut mieux quand même 2 barrettes de même capacité. Sinon la bande passante est divisé par 2. Et pour l’iGPU « HD4000 » c’est pas forcément top.


C’est bien un MBP 2012 13pouces non Retina? Si oui n’importe quel SSD SATA3 est compatible. Par exemple un crucial mx500 de 500GB c’est 50-60€, pour la RAM oui c’est sans doute le plus cher surtout pour 16GB, soit 2*4GB ou 2*8GB.

Merci pour ces infos complémentaires, je vais essayer de trouver plus de tutos et d'aide detaillés pour
- réaliser la clef bootable,
-installer l'os sur le SSD vierge,
-redémarrer sur le SSD et être que tout va bien.

Merci pour ton aide maxou56