[RESOLU] Lets'Encrypt, "mauvais site"pour certificat imap et smtp

Bonjour,

Mon serveur YunoHost

Matériel: VPS OVH
Version de YunoHost: 3.6.5.3 (stable)
J’ai accès à mon serveur : En SSH et Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Nom de domaine : disons toto.fr pour l’exemple
Let’s Encrypt activé depuis plus d’un an, sans aucun problème jusqu’a aujourd’hui
Thunderbird : Version 68.6.0 sur OSX

Description du problème

J’ai un problème avec les certificat Let’s Encrypt pour les sous domaines imap.toto.fr et smtp.toto.fr.
Cette instance YNH est installée depuis plus d’un an et j’ai déjà configuré des comptes email pour ce domaine dans Thunderbird avec cette configuration.
imap.toto.fr:993
smtp.toto.fr:587
Tout était donc parfaitement opérationnel jusqu’a peu.

Mais maintenant quand j’ajoute un compte email dans Thunderbird, il indique que le message suivant à propos du certificat :
Mauvais site
Le certificat appartient à un site différent, ce qui pourrait indiquer que quelqu’un tente d’usurper l’identité de ce site.

Il propose de confirmer l’exception de sécurité de façon permanente, mais cela n’a aucun effet, le popup s’affiche à nouveau.

Effectivement si je regarde le contenu du certificat, il appartient au domaine toto.fr et nom au sous domaine imap.toto.fr. Idem pour smtp, le certificat appartient au domaine toto.fr et non au sous domaine smtp.toto.fr.

J’ai tenté de renouveler le certificat, mais ce n’est pas mieux du point de vue de Thunderbird.

J’ai regardé les fichiers de configuration pour postfix et dovecot et ils pointent vers les certificats toto.fr. Aucune trace de imap.toto.fr et smtp.toto.fr

root@toto:~# grep toto /etc/postfix/main.cf
smtpd_tls_cert_file = /etc/yunohost/certs/toto.fr/crt.pem
smtpd_tls_key_file = /etc/yunohost/certs/toto.fr/key.pem

root@toto:~# grep fcpe /etc/dovecot/dovecot.conf
ssl_cert = </etc/yunohost/certs/toto.fr/crt.pem
ssl_key = </etc/yunohost/certs/toto.fr/key.pem

Cette configuration sur le serveur semble cohérente avec ce que dit Thunderbird.

Ma question : est-ce normal que les certificats des sous domaines ne soient pas générés ?
Si oui, alors je vais voir pourquoi Thunderbird n’accepte pas l’exception de manière définitive comme il le faisait avant.

Merci.
Emmanuel.

Oui. Comme indiqué dans cette page de doc, tu n’es pas censé mettre “imap.domain.tld” ou “smtp.domain.tld”, juste “domain.tld” suffit.

Merci pour la doc, je confirme que ca fonctionne mieux maintenant :).
Quand j’ai fait les premières configurations, il y a un an, j’avais pourtant utilisé imap.toto.fr et smtp.toto.fr.

Bon, je passe en résolu le topic.

Merci et bon WE.