Voici une astuce rapide pour vérifier la date d’expiration du certificat SSL d’un serveur XMPP. On utilise le client openssl en lançant openssl s_client pour initier une connexion TLS au serveur, pour cela on lui donne -starttls xmpp comme paramètre pour lui indiquer le protocole à utiliser.

On transmet le résultat via un pipe | à la commande openssl x509 qui permet d’analyser le certificat fourni. X.509 est en effet la norme établissant le format de ces certificats. Le paramètre -dates indique spécifiquement d’afficher les dates de validité du certificat.

~% openssl s_client -connect mail.ezvan.fr:5222 -starttls xmpp -xmpphost ezvan.fr | openssl x509 -noout -dates
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = ezvan.fr
verify return:1
notBefore=Mar 31 07:08:59 2021 GMT
notAfter=Jun 29 07:08:59 2021 GMT

Le vieux certificat SSL fournit par Gandi pour www.ezvan.fr a expiré sans crier gare ! Je n’ai pas accès au compte qui gère le domaine, me voilà donc en train d’essayer de créer un certificat avec Let's Encrypt.
Let's Encrypt est une autorité de certification qui fournit des certificats SSL gratuits, donc plus aucune excuse pour ne pas utiliser SSL correctement !

La validation du certificat est faite automatiquement, à l’aide d’un outil nommé cerbot. Il génère un fichier “ACME challenge” qui doit être accessible via le domaine validé.

Dans mon cas j’utilise la commande suivante. Je spécifie le chemin d’installation de Drupal (qui fait tourner ce site) et demande à cerbot de configurer Apache pour utiliser le nouveau certificat.

% sudo certbot --authenticator webroot --installer apache --webroot -w /usr/share/drupal7 -d www.ezvan.fr

Malheureusement tout ne se passe pas comme prévu !

 - The following errors were reported by the server:   
 Domain: www.ezvan.fr   
 Type:   unauthorized   
 Detail: Invalid response from 
   http://www.ezvan.fr/.well-known/acme-challenge/UWXvHv0ueIHLLooJIcIfdD2OiuNipVF5TuSc0dXnXd0:   
   "      403 Forbidden      Forbidden"

Que se passe-t-il ? Drupal interdit l’accès direct aux fichiers placés dans son arborescence pour des raisons de sécurité. L’emplacement du fichier …