Doc connexions SSL/TLS

Vérifications
Java
Docker
FAQ
- Comment ajouter des certificats racine non présents sur le système
- Nouveaux certificats Sectigo (2025)

Si vous faites des connexions vers des services réseau en utilisant SSL/TLS, la plupart des outils et bibliothèques se basent sur les certificats racine présents dans le fichier /etc/ssl/certs/ca-certificates.crt.

Par défaut, c’est géré par le paquet Debian ca-certificates qui intègre les certificats racine de Mozilla.

Vérifications

Depuis votre serveur dédié, vous pouvez utiliser curl pour vérifier un service en HTTPS (mais aussi d’autres protocoles) :

$ curl -v https://ssl.example.com/

Vous pouvez voir le contenu d’un certificat d’un service réseau ainsi :

$ openssl s_client -connect ssl.example.com:443

Note : vous pouvez utiliser l’option -servername ssl.example.com pour utiliser du SNI.

Pour un service réseau utilisant STARTTLS, voici un exemple avec SMTP (valable aussi pour POP3/IMAP/FTP) :

$ openssl s_client -CApath /etc/ssl/certs -connect mail.example.com:25 -crlf -starttls smtp

Si le service est accessible publiquement, nous conseillons aussi d’avoir une vision externe via l’outil comple SSL LABS

D’autres outils peuvent également être utiles :

Pour une vérification de la chaîne de certification : https://whatsmychaincert.com/
Pour une vérification avancée : https://ssldecoder.org/
Pour une vérification SSL/TLS orientée SMTP : https://tls.imirhil.fr, https://ssl-tools.net/mailservers
Pour une vérification par divers scanners : https://observatory.mozilla.org/

Java

Java utilise sa propre liste de certificats racine, mais si vous utilisez Java installé par défaut sur le système, la liste devrait être identique. Par contre, si c’est une version spécifique de Java, vous devez gérer vous-même la liste des certificats avec la commande keytool.

Docker

Docker étant un mini-système indépendant, il intègre aussi sa liste de certificats racine. Si besoin de mettre à jour cette liste, vous devrez reconstruire vos conteneurs.

FAQ

Comment ajouter des certificats racine non présents sur le système

Si vous avez besoin d’ajouter des certificats racine, vous pouvez nous ouvrir un ticket.

Nouveaux certificats Sectigo (2025)

L’autorité de certification Sectigo a commencé à vendre mi-2025 des certificats signés avec les certificats racine « R46 » et « E46 » qui n’étaient pas encore intégrés sous Debian. Si votre serveur (ou conteneur) géré par Evolix est en Debian 9/10/11/12, ces certificats devraient être intégrés au fichier /etc/ssl/certs/ca-certificates.crt depuis le vendredi 20 juin 2025. Si vous constatez un problème ou que vous en avez besoin sous Debian 8 (ou inférieur), vous pouvez nous ouvrir un ticket.