Bug du week-end : problème de certificat lors des appels CURL au géoréférencemet inverse

**saxrub** · 20/03/2023, 06h36

Bonjour

Les week-end se suivent et se ressemblent !

Après les géoréférencement inverse POI qui ne fonctionnaient plus le week-end dernier, c'est au tour des appels des services en PHP CURL de dysfonctionner.

Mon webservice n'a pas évolué depuis 2 mois.

Comme je l'expliquais la semaine dernière, je commence par situer les coordonnées passées dans une commune via une interrogation de type PARCEL

Pour cela, je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
function GEOPORTAIL_GET($urlBase,$DEBUG="NON")
{

// $urlBase contient https://wxs.ign.fr/calcul/geoportail/geocodage/rest/0.1/reverse?index=parcel&searchgeom=%7B%22type%22:%22Polygon%22,%22coordinates%22:%5B[[1.1120170258,45.9520385335],[1.0992262488,45.952038029],[1.0992280002,45.9431451099],[1.1120167253,45.9431456143],[1.1120170258,45.9520385335]]]}&lon=1.105622&lat=45.947592&limit=1

    
    $url=$urlBase;

    if ($DEBUG=="OUI")
    {
        echo "GEOPORTAIL_GET=".$urlBase."<hr>";
    }
    $curl = curl_init();

    curl_setopt_array($curl, array(
        CURLOPT_RETURNTRANSFER => 1,
        CURLOPT_REFERER=>'https://wnat.fr',
        CURLOPT_URL => $url,
        CURLOPT_USERAGENT => 'Codular Sample cURL Request'
    ));

    $json = curl_exec($curl);

    if (curl_errno($curl)) {
        echo curl_error($curl);
    }

    if ($DEBUG=="OUI")
        {
            echo "TIME 2 ".date("h:i:s").'<br>'.$url.'<hr>********'.$json.'<hr>';
        }

    return($json);

en résultat, il y a un problème de certificat avec le message SSL certificate problem: unable to get local issuer certificate

Notons qu'un autre sujet a été posté sur les certificats : https://www.developpez.net/forums/d2...n-certificats/

Au vu des réponses sur ce dernier sujet, mon hébergeur a-t-il a faire quelque chose ????

**saxrub** · 20/03/2023, 10h08

Bonjour
J'ai contacté mon support d'hébergement sur le sujet. La réponse complète est ci-dessous, mais en résumé
- l'IGN ne propage pas correctement la chaine de certificat,
- la recette sparadrap évoquée dans l'autre ticket traitant permet un contournement.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

Bonjour,

Comme évoqué par téléphone il semble que la chaîne de certificat renvoyée par le serveur distant soit incomplète :

gnutls-cli wxs.ign.fr
Processed 126 CA certificate(s).
Resolving 'wxs.ign.fr:443'...
Connecting to '192.134.136.9:443'...
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=wxs.ign.fr,O=INSTITUT NATIONAL DE L'INFORMATION GEOGRAPHIQUE ET FORESTIERE,L=SAINT-MANDE,C=FR', issuer `CN=Certigna Wild CA,2.5.4.97=#0c144e545246522d3438313436333038313030303336,OU=0002 48146308100036,O=DHIMYOTIS,C=FR', serial 0x0ed3e1cd9d718a9b7b184dd362370a41, RSA key 2048 bits, signed using RSA-SHA256, activated `2023-03-08 23:00:00 UTC', expires `2024-03-07 22:59:59 UTC', pin-sha256="LFh068IWXX44jicbHxKDXdBrJ79tSOwJ1h5b24l9F7g="
 Public Key ID:
  sha1:4a13fac07c06d69748960bded0cf7b95bb05eb3c
  sha256:2c5874ebc2165d7e388e271b1f12835dd06b27bf6d48ec09d61e5bdb897d17b8
 Public Key PIN:
  pin-sha256:LFh068IWXX44jicbHxKDXdBrJ79tSOwJ1h5b24l9F7g=

- Status: The certificate is NOT trusted. The certificate issuer is unknown.
*** PKI verification of server certificate failed...
*** Fatal error: Error in the certificate.

La meilleure pratique serait que le serveur distant mettent à disposition toute la chaîne de certificat.

J'ai néanmoins appliquée la solution de contournement que vous avez pu trouver sur internet et qui consiste à intégrer la partie manquante de cette chaîne de certificat directement au serveur afin qu'il puisse en avoir connaissance à son niveau.

Dès lors :

Processed 127 CA certificate(s).
Resolving 'wxs.ign.fr:443'...
Connecting to '192.134.136.11:443'...
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=wxs.ign.fr,O=INSTITUT NATIONAL DE L'INFORMATION GEOGRAPHIQUE ET FORESTIERE,L=SAINT-MANDE,C=FR', issuer `CN=Certigna Wild CA,2.5.4.97=#0c144e545246522d3438313436333038313030303336,OU=0002 48146308100036,O=DHIMYOTIS,C=FR', serial 0x0ed3e1cd9d718a9b7b184dd362370a41, RSA key 2048 bits, signed using RSA-SHA256, activated `2023-03-08 23:00:00 UTC', expires `2024-03-07 22:59:59 UTC', pin-sha256="LFh068IWXX44jicbHxKDXdBrJ79tSOwJ1h5b24l9F7g="
 Public Key ID:
  sha1:4a13fac07c06d69748960bded0cf7b95bb05eb3c
  sha256:2c5874ebc2165d7e388e271b1f12835dd06b27bf6d48ec09d61e5bdb897d17b8
 Public Key PIN:
  pin-sha256:LFh068IWXX44jicbHxKDXdBrJ79tSOwJ1h5b24l9F7g=

- Status: The certificate is trusted.
- Description: (TLS1.2)-(ECDHE-SECP256R1)-(RSA-SHA512)-(AES-128-GCM)
- Session ID: 4B:BC:00:33:74:1E:7A:D0:B7:3C:EA:A2:4B:73:EF:43:9F:BD:75:A2:24:36:E2:3E:7D:6B:CD:D2:4C:54:C0:FB
- Options: safe renegotiation,
- Handshake was completed

- Simple Client Mode:

Pourriez-vous vérifier que cela rectifie votre problématique ? Car j'observe toujours des "NotFound" dans les éléments remontées via votre URL.

**elias couppe** · 20/03/2023, 15h01

Bonjour,

une réponse a été apportée dans l'autre sujet que vous citez et qui traite déjà du sujet : https://www.developpez.net/forums/d2...n-certificats/

Bug du week-end : problème de certificat lors des appels CURL au géoréférencemet inverse

IGN API Géoportail

Discussions similaires

Partager

Partager