La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: Amon-Ra le 01 mai 2016 à 19:56:05
-
Vivien, il faudrait que tu
régénère ton certificat en SHA2 remplace un de tes certificats intermediaire SHA-1 en SHA2 car Chrome va carrèment te bloquer bientôt...
ça fait déjà plus d'un an que le méchant logo rouge est affiché chez moi
https://www.startssl.com/root
-
celui la
-
En ce qui me concerne, pas de problème avec chrome.
-
alors cela veux dire que Chrome a un vieux certificat en cache chez moi.
pour le forcer, il faut que vivien tu doit ajouter le certificat intermédiaire sha2 + root CA dans SSLCertificateChainFile sur ton ssl.conf que tu recupere la : https://www.startssl.com/root
-
Mon certificat est en SHA2.
Le problème n'est pas reproductible chez moi
Sinon, j'ai toujours la certification A+ sur SSL Labs : https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info
-
il ne faut pas prendre ssllab pour argent comptant (il utilise les certificats Root de son propre serveur, aucun interet...)
Pas mal de chose qu'il ne remonte pas.
Chrome commence à être trop strict que pour lui même au fil des mises à jours...
notamment le TLS1.0 couplé à des ciphers obsolètes, la barre verte de certains certificats EV sont carrèment ignorées.
as tu forcé ton le certificat intermédiaire sha2 + root CA dans SSLCertificateChainFile sur ton ssl.conf ?
-
Aujourd'hui je suis sur une configuration de ce type avec Apache 2 :
SSLCertificateFile lafibre.crt
SSLCertificateKeyFile lafibre.key
SSLCertificateChainFile sub.class2.server.ca.pem
SSLCACertificateFile ca.pem
Si j'ai bien compris, je fusionne le .crt et le .pem intermédiaire dans un même fichier :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem
Je modifie Apache tel que ?
SSLCertificateFile lafibre.pem
SSLCertificateKeyFile lafibre.key
SSLCACertificateFile ca.pem
-
le SSLCertificateChainFile doit contenir la totalité de la chaîne de certification sauf le certificat serveur : le certificat intermédiaire, puis le certificat racine (CA Root).
-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat intermédiaire (qui a signé le certificat) xxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat racine (qui a signé le certificat au dessus) xxxxxxxxx
-----END CERTIFICATE-----
ton certificat intermédiaire : https://www.startssl.com/certs/sca.server3.crt
Root CA : https://www.startssl.com/certs/ca-g2.crt
Root CA : https://www.startssl.com/certs/ca.crt
ton sub.class2.server.ca.pem est obsolete d'apres le site startssl
commente la ligne SSLCACertificateFile, elle ne sert à rien car SSLCertificateChainFile existe
l'extension des fichiers n'est pas important
cp sca.server3.crt > lafibre.bundle
cp ca.crt >> lafibre.bundle
SSLCertificateFile lafibre.crt
SSLCertificateKeyFile lafibre.key
SSLCertificateChainFile lafibre.bundle
#SSLCACertificateFile ca.pem
si ça ne marche pas, essaie ce Root la : https://www.startssl.com/certs/ca.crt ou https://www.startssl.com/certs/ca-sha2.crt
logiquement il est SHA1 mais google ignore le CA root
(pas mal d'edit) sorry
-
openssl s_client -connect lafibre.info:443
Verify return code: 20 (unable to get local issuer certificate)
-
Voila, j'ai fusionné mon certificat intermédiaire (class2 dans mon cas) avec ca.pem :
cp sub.class2.server.ca.pem class2.pem
cat ca.pem >> class2.pem
Et j'ai modifié apache2 :
SSLCertificateFile /etc/ssl/private/lafibre.crt
SSLCertificateKeyFile /etc/ssl/private/lafibre.key
SSLCertificateChainFile /etc/ssl/private/class2.pem
C'est mieux ?
Je pense que mon problème est peut être lié au fait que SSLCertificateChainFile est devenue obsolète avec la version 2.4.8 selon la doc Apache2 : https://httpd.apache.org/docs/2.4/fr/mod/mod_ssl.html
-
Si je comprends bien la doc Apache, il faut faire une configuration encore plus simple :
SSLCertificateFile /etc/ssl/private/lafibre.pem
SSLCertificateKeyFile /etc/ssl/private/lafibre.key
LaFibre.pem est généré via :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem
cat ca.pem >> lafibre.pem
Il y a donc tout dans un même fichier, c'est bon ?
-
Si je comprends bien la doc Apache, il faut faire une configuration encore plus simple :
SSLCertificateFile /etc/ssl/private/lafibre.pem
SSLCertificateKeyFile /etc/ssl/private/lafibre.key
LaFibre.pem est généré via :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem
cat ca.pem >> lafibre.pem
Il y a donc tout dans un même fichier, c'est bon ?
c'est quoi la version de ton apache et ton openssl ?
-
Apache/2.4.7
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
J'ai mis en place la configuration avec tout dans un seul fichier.
=> This server's certificate chain is incomplete. Grade capped to B.
je reviens à la conf d'origine. [edit : fait]
-
Vivien, il faudrait que tu régénère ton certificat en SHA2 remplace un de tes certificats intermediaire SHA-1 en SHA2 car Chrome va carrèment te bloquer bientôt...
Ce n'est pas le cas : vérifie avec Wireshark!
-
Apache/2.4.7
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
J'ai mis en place la configuration avec tout dans un seul fichier.
=> This server's certificate chain is incomplete. Grade capped to B.
je reviens à la conf d'origine. [edit : fait]
avec ta config, tu dois faire ça d'apres le Mozilla SSL Configuration Generator :
SSLEngine on
SSLCertificateFile /path/to/signed_certificate
SSLCertificateChainFile /path/to/intermediate_certificate
SSLCertificateKeyFile /path/to/private/key
SSLCACertificateFile /path/to/all_ca_certs
source : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.7&openssl=1.0.1f&hsts=yes&profile=intermediate
-
Ce n'est pas le cas : vérifie avec Wireshark!
voir si c'est le serveur qui le fourni, ou le navigateur...
-
moi il affiche toujours SHA1
-
avec ta config, tu dois faire ça d'apres le Mozilla SSL Configuration Generator :
SSLEngine on
SSLCertificateFile /path/to/signed_certificate
SSLCertificateChainFile /path/to/intermediate_certificate
SSLCertificateKeyFile /path/to/private/key
SSLCACertificateFile /path/to/all_ca_certs
source : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.7&openssl=1.0.1f&hsts=yes&profile=intermediate
C'est bien ce que j'ai (je n'ai pas recopié les chemins, mais ils sont bien dans la conf Apache2). L'ordre change, mais cela n'a pas d'importance.
Aujourd'hui je suis sur une configuration de ce type avec Apache 2 :
SSLCertificateFile lafibre.crt
SSLCertificateKeyFile lafibre.key
SSLCertificateChainFile sub.class2.server.ca.pem
SSLCACertificateFile ca.pem
-
test avec https://www.tbs-internet.com/php/HTML/testssl_verif.php
fait gaff, il a un cache de merde pour les résultats
-
ton ca.pem merde
• RACINE : ERREUR - Certificat non reconnu !
Verify return code: 20 (unable to get local issuer certificate)
tu as mis celui la : https://www.startssl.com/certs/ca.crt
?
-
Aucun souci avec lafibre.info.
A mon avis , le souci est du coté d'Amon-Ra.
-
Aucun souci avec lafibre.info.
A mon avis , le souci est du coté d'Amon-Ra.
oui et non
si de mon coté j'ai un certificat intermédiaire moyen que Chrome n'aime pas. Vivien fait comment pour forcer la chose ?
-
pourtant !
https://shaaaaaaaaaaaaa.com/check/lafibre.info
peut-etre que :
https://sslmate.com/blog/post/chrome_cached_sha1_chains
However, browsers often cache intermediate certificates, and might use a cached certificate instead of the one offered by the server.
Unfortunately, some CAs ignored this advice at first, and one CA, StartCom, is still issuing SHA-2 end-entity certificates that are signed by a SHA-1 intermediate .
While they provide a version of the intermediate signed with SHA-2, it does no good if a browser already has the SHA-1 version cached.
-
Ca n'est pas forcement a Vivien de modifier son site pour corriger un souci chez toi.
On avait déjà évoqué ce probleme y'a quelques mois, il faut forcer la maj des CA root dans Windows si elle ne se fait plus d'elle-meme.
cf: https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221226/#msg221226
-
la procédure: https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341
-
ton ca.pem merde
• RACINE : ERREUR - Certificat non reconnu !
Verify return code: 20 (unable to get local issuer certificate)
tu as mis celui la : https://www.startssl.com/certs/ca.crt
?
J'ai vérifié, c'est bien celui là que j'ai.
-
Ca n'est pas forcement a Vivien de modifier son site pour corriger un souci chez toi.
On avait déjà évoqué ce probleme y'a quelques mois, il faut forcer la maj des CA root dans Windows si elle ne se fait plus d'elle-meme.
cf: https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221226/#msg221226
Merci kgersen, je viens de me taper les 7 pages.
dingue cette histoire...
-
je viens de virer les certifs de mon windows, c'est repassé en vert...
donc en clair, en tant que webmaster, l'idée est de remplacer un autre certificat d'une autre autorité de certification (GANDI, Comodo...) pour éradiquer le problème chez mes clients...
-
Oui faut abandonner StartCom (Mossad ;D) et aller chez LetsEncrypt (NSA ? :P)
De nos jours, y'a que guerre que si on veut un EV ("green bar") qu'on doit payer.
Sinon autant prendre un gratuit chez Letsencrypt, c'est tellement récent que tout les OS/navigateurs n'ont qu'une racine a jour pour eux et l'installation/renouvellement est complètement auto.
-
Letsencrypt ne propose toujours pas de wildcard il me semble...
-
En proposeront-ils un jour... Ça reste des certificats gratuits.
En tous cas aucun problème de certificat sur lafibre.info pour moi.
-
Letsencrypt ne propose toujours pas de willcard il me semble...
pourquoi t'as besoin de wildcard ? t'as des url de sites web générés dynamiquement ?
-
Pour avoir la liberté de créer des sous-domaines, tout simplement.
-
Vivien, tu peux juste utiliser cette configuration:
SSLEngine on
SSLCertificateFile /etc/ssl/certs/star_k-net_fr.crt
SSLCertificateKeyFile /etc/ssl/private/star_k-net_fr.key
Le .crt contient le certificat, plus tout les intermédiaires
Attention, l'ordre est important, valide le avec openssl s_client
-
Vivien, tu peux juste utiliser cette configuration:
SSLEngine on
SSLCertificateFile /etc/ssl/certs/star_k-net_fr.crt
SSLCertificateKeyFile /etc/ssl/private/star_k-net_fr.key
Le .crt contient le certificat, plus tout les intermédiaires
Attention, l'ordre est important, valide le avec openssl s_client
ça dépend de la version apache et openssl
-
En effet, cela ne fonctionne que sur des versions maintenues .. :)
-
Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).
kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?
-
Suffit de créer un certificat juste pour ton sous domaine chez gandi à 12€
-
Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).
kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?
Tu peux soit créer un certificat par domaine/sous-domaine soit un seul certificat pour plusieurs domaines qu'ils soient hiérarchiquement liés ou pas.
Comme tout est automatisable c'est juste un choix de ta part.
Le script de génération peut prendre plus d'un domain en paramètre comme ca:
./letsencrypt-auto certonly -a standalone -d lafibre.info -d www.lafibre.info -d ip.lafibre.info -d testdebit.info
la tu auras un seul certificat pour : lafibre.info , www.lafibre.info , ip.lafibre.info et testdebit.info. Ce sont tous des SAN (https://en.wikipedia.org/wiki/SubjectAltName).
Le script interactif pour Apache va demander de lui meme les domaines:
letsencrypt --apache
Comme tout est automatique et pour éviter les abus, il y a des limites en place (qui peuvent changer a l'avenir):
- 100 noms ou websites par certificat (= 100 SAN max dans un meme certificat)
- 20 certificats par domaine (parent) par semaine
- 5 certificats pour le meme FQDN par semaine
https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769 pour plus de détails.
-
Avec 100 noms de domaines y a de quoi faire en plus. Après ça reste peut-être un peu long par rapport à une wildcard de taper tous ses sous-domaines dans la commande ;D
-
Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :
(http://img4.hostingpics.net/pics/203478Sanstitre.jpg)
Par contre sous Firefox le cadenas est vert.
-
Dans ce cas, regarde la source de la confiance!
-
Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :
(http://img4.hostingpics.net/pics/203478Sanstitre.jpg)
Par contre sous Firefox le cadenas est vert.
c'est un probleme de ton windows,
voici la procédure pour forcer :
https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341
-
De toute façon, le fournisseur de certificats ayant vraiment déconné, il faut aller ailleurs. (C'est vraiment triste de voir de telles choses.)
Mais une boite de certification, comme toute organisation, peut se mettre à déconner et il FAUT avoir un plan B (si on a un site critique pour le business).
Je pense qu'un boite sérieuse devrait même avoir en permanence plusieurs certificats avec des sources de la confiance différentes, comme elle a des sauvegardes des fichiers clients à plusieurs endroits et pas que chez un fournisseur.
-
c'est un probleme de ton windows,
voici la procédure pour forcer :
https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341
Merci pour l'astuce ;)
-
Cette histoire de certificats non renouvelés avant la date d’expiration sous Windows 7 (et peut être d'autres versions), va couper l'accès à une partie d'internet sur la plupart des navigateurs l'année prochaine:
Mort de SHA1 : Microsoft s’aligne sur les principaux navigateurs
[...]
la date butoir a été fixée au 14 février 2017. À compter de cette date, les navigateurs Edge et Internet Explorer bloqueront partiellement l’accès aux sites utilisant un certificat TLS protégé par la fonction SHA1.
[...]
Microsoft n’est pas le seul à prévoir la fin du support de SHA1. Firefox a ainsi prévu de son côté que son navigateur bloquerait l’affichage des sites utilisant ces certificats à compter du 1er janvier 2017, tandis que Google Chrome prévoit cette évolution pour la fin du mois de janvier 2017.
[...]
http://www.zdnet.fr/actualites/mort-de-sha1-microsoft-s-aligne-sur-les-principaux-navigateurs-39844968.htm
Et dans la chaîne de certification, certains certificats dépassent les 10 ans de validité...
Les validités de 1, 2 ou 3 ans ne sont que pour le bout de chaîne, côté site.
-
Il y a une inertie monstrueuse dans ce domaine!
-
Plus de soucis depuis que LaFibre.info est passé sur Let's Encrypt.
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_lafibre.png)
Par contre j'ai maintenant le souci avec Google :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_accounts.png)
-
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_youtube.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_googleplay.png)
Tous ces tests ont été réalisés sur Windows Vista, avec la dernière version de Chrome pour Vista : Chrome 49
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_chrome.png)
-
MDR
-
Je crois que Vista a le même bug de non renouvellement des certificats quand ceux-ci n'ont pas expirés côté date.
Car sous Iron (comme Chrome) et Chrome portable, pas de souci sous Windows 7... pourtant réputé comme le Windows le plus bugué côté certificats SSL/TLS et après avoir appliqué la procédure adéquate.
J'ai même ressorti Chrome portable 48, sous Windows 7, pas de souci.
Repère la chaîne de certifications qui pose problème (côté navigateur), la procédure Windows 7 dans ce forum (c'est pareil sous Vista), note tout ceci sur bloc-note, quitte les navigateurs, applique la procédure au niveau des certificats (hors navigateurs donc), attends quelques instants ou redémarre l'ordinateur => problème corrigé.
C'est pour cela que je disais que bloquer par défaut SHA1 va bloquer une partie d'internet pour une partie des internautes.
Il y a encore des ordinateurs sous Vista, et beaucoup plus sous 7...
NB: s'il y a un problème pour retrouver cette procédure, je re plus tard.
-
Combien d'utilisateurs sont capable d'aller dans le magasin de certificats?
-
Combien d'utilisateurs sont capable d'aller dans le magasin de certificats?
Techniquement?
Tout le monde (il me semble) en passant directement sur mmc.exe pour créer un raccourci. Mais le contenu final est certmgr.msc. Donc j'ai un doute avec les éditions de Windows.
Car l'accès via gpedit(.msc) est réservé aux éditions pro/ultimate. Mais est-ce le cas de tous les msc?
En connaissance?
Assez peu de monde. Surtout que lafibre.info peut avoir ce blocage selon la politique des navigateurs, alors qu'il y a la procédure dans ce forum. Mais il y en a aussi ailleurs. Encore faut-il faire la démarche de la recherche et de l'ouverture des bons liens (voir plus bas)...
En psychologie?
Houlà, très peu de monde!
Entre geeks/connaisseurs, on y pense que rarement, mais cette console, ce sera pour beaucoup d'utilisateurs de Windows: "L'interface ne ressemble pas a du Windows Explorer. Je n'y touche pas car cela pourrait foutre mon Windows en l'air!".
J'ai déjà vu des remarques assez radicales de ce genre... juste pour cliquer sur des liens internet pourtant sûrs. Donc pour du Windows...
-
C'est tout sauf simple...
On commence par le certificat de Google, pour lequel tout est ok.
A noter qu'il est émis pour une durée de même pas 3 mois :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_1.png)
C'est du SHA256 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_2.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_3.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_4.png)
-
Le fautif, le certificat GeoTrust :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_1.png)
C'est du SHA1 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_2.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_3.png)
-
GeoTrust n’apparait pas dans Autorité intermédiaire :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_5.png)
GeoTrust apparait bien dans les autorité de "certifications racines de confiance" :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_4.png)
Il apparait aussi dans "certification racine tierce partie" :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_7.png)
J'ai supprimé les deux :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_6.png)
Problème : à chaque démarrage de chrome sur le site de Google, les deux certificats racine GeoTrust sont recrée, a l'identique et en SHA1.
Bref problème non résolut.
Vista ne me sert qu'a réaliser des tests avec le plus vieux OS supporté par le forum, je vous rassure.
J'ai galéré avec le pb de windows update qui se bloquait , j'ai du réaliser 3 clean install et appliquer le gros des patch a la main une fois le SP2 installé, pour ne pas avoir le blocage.
Je ne ferais pas de commentaire...
-
Et le certificat a 15 ans !
(https://pix.milkywan.xyz/Fdu4v2Ie.png)
-
Même date de création pour moi, mais il expire plus tôt, en 2018 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_1.png)
-
2022 pour moi, SHA1, mais Chrome 56 me dit cadenas vert.^^
Il y a du favoritisme.
Avec Firefox 51, 2018, SHA1, et cadenas vert aussi. :o
Chrome 48, idem que Chrome 56.
Cette différence de chaîne de certifications, côté Google, me rappelle quelque chose qu'il y a eu ici... Bref, cela sent que l'on ne peut rien faire côté utilisateur. :-\ Faut que Google fasse quelque chose.
Mais de mon côté, ce SHA1 là me permets quand même d'avoir du cadenas vert, au moins sous Chrome et Firefox (et Iron mais cela je le savais car je l'utilise tout les jours).
-
Fin janvier, Google est devenu Root CA Authority en rachetant GlobalSign R2 and R4. En // a cela ils intègrent maintenant directement une racine dans leur produits (tout Alphabet pas que Google).
Ca leur permet de ne plus dépendre d'un tiers pour chiffrer leur produits et services.
source: https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
site Google Root CA: https://pki.goog/
Donc leur certifs ne devraient plus dépendre de GIAG2 (sous-CA de GeoTrust gérée par Google) et seront probablement directement embarqués dans Chrome.
-
Fin janvier, Google est devenu Root CA Authority en rachetant GlobalSign R2 and R4. En // a cela ils intègrent maintenant directement une racine dans leur produits (tout Alphabet pas que Google).
Ca leur permet de ne plus dépendre d'un tiers pour chiffrer leur produits et services.
source: https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
site Google Root CA: https://pki.goog/
Donc leur certifs ne devraient plus dépendre de GIAG2 (sous-CA de GeoTrust gérée par Google) et seront probablement directement embarqués dans Chrome.
Pour le moment, les "leaf" certificats de Google (en prod du moins...) sont toujours signés via leur ancienne autorité intermédiaire. Honnêtement, je pense que ça prendre un peu de temps avant que tous leurs produits ne se mettent à utiliser leur nouveaux roots...
Problème : à chaque démarrage de chrome sur le site de Google, les deux certificats racine GeoTrust sont recrée, a l'identique et en SHA1.
Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.
-
Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.
Ca j'ai bien compris, mais pourquoi je reçois encore en 2017 un certificat SHA1 ?
-
Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.
Il permet surtout de dissimuler à l'utilisateur combien de racines de confiance existent.
-
Spoiler : trop
-
Ca j'ai bien compris, mais pourquoi je reçois encore en 2017 un certificat SHA1 ?
parce que c'est la racine. C'est le certif final (leaf) ou les intermédiaires qui doivent pas être en SHA1.
-
Donc :
- GeoTrust (expiration 22 août 2018) est en SHA1 mais cela n'est pas gênant pour Chrome
- GeoTrust Global CA (expiration 21 août 2018) est en SHA1 et c'est lui qui fait afficher le message "Le certificat de ce site arrive à expiration en 2017 ou à une date ultérieure, et la chaîne de certificats contient un certificat signé avec SHA-1."
- Google Internet Authority G2 (expiration 26 avril 2017) est en SHA256 => ok
- *.google.com (expiration 26 avril 2017) est en SHA256 => ok
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_4.png)
Quelle est la procédure pour avoir GeoTrust Global CA en SHA256 ?
-
t'as un intermédiaire en plus on dirait:
chez moi sur W10 :
(http://i.imgur.com/Wy2TExY.png)
-
Bien vu. Sur mon Windows vista, je n'ai ce souci qu'avec Google Chrome.
Internet Explorer 9 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_9.png)
Firefox 51 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_8.png)
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_11.png)
-
Chrome et IE sont censés utiliser les mêmes certificats non , ceux de l'OS.
Apres c'est Vista ... pas vraiment d'interet a perdre du temps avec cet OS... ;D
-
On peut être contre Vista, mais il est (encore) supporté aujourd'hui.
Par contre, si c'est le seul argument ici (à confirmer par Vivien), cela se terminera le 11 avril, dans un peu moins de 2 mois.
-
Même date de création pour moi, mais il expire plus tôt, en 2018 :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_1.png)
Le tien est délivré par Equifax, pas GeoTrust.
-
Du coup, Vivien, tu m'as fait penser que j'avais un test https en plan... depuis 2015.^^
Et là, bonne surprise de la part de mon hébergeur (que j'avais remarqué vers mi-2016 mais c'était la transition côté communication). Même si je vais faire un ticket, dans les prochains jours, car j'ai 3 reproches à leur faire sur les paramètres de sécurité (2), et un peu sur le certificat automatique lui-même (1).
Mais en attendant, et comme je n'ai plus de Vista sous la main, je voudrai savoir comment est géré mon https avec cet OS, stp Vivien: https://alexou.fr.cr/blog/ (j'ai déjà désactivé le http via htaccess du côté de mon site, mais pas encore mis les images en https sur ce forum).
-
Turold, aucun souci détecté avec les 3 navigateurs sous Vista.
Mon problème avec Google s'est aussi réglé, tout seul !
Le certificat racine a changé, ou plutôt le certificat intermédiaire est devenu racine et sa date d’expiration passe de 2018 a 2022 :
Avant :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_1.png)
Maintenant :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_10.png)
-
Ancienne chaine :
Donc :
- GeoTrust (expiration 22 août 2018) est en SHA1 mais cela n'est pas gênant pour Chrome
- GeoTrust Global CA (expiration 21 août 2018) est en SHA1 et c'est lui qui fait afficher le message "Le certificat de ce site arrive à expiration en 2017 ou à une date ultérieure, et la chaîne de certificats contient un certificat signé avec SHA-1."
- Google Internet Authority G2 (expiration 26 avril 2017) est en SHA256 => ok
- *.google.com (expiration 26 avril 2017) est en SHA256 => ok
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_google_4.png)
Quelle est la procédure pour avoir GeoTrust Global CA en SHA256 ?
Maintenant :
(https://lafibre.info/testdebit/windowsVista/201702_ssl_sha-1_geotrust_12.png)
-
Apres c'est Vista ... pas vraiment d'interet a perdre du temps avec cet OS... ;D
Aujourd'hui j'ai une compatibilité avec IE 8 sous Windows XP et IE7 sous Vista et je via monter d'un cran la sécurité, via modification de la suite cryptographique (cipher suite en anglais).
Mon objectif est de garder la compatibilité IE9 sous Vista d'où mon intérêt soudain pour cet OS.
-
Turold, aucun souci détecté avec les 3 navigateurs sous Vista.
Ok, je viens de mettre le plus possible d'images (et de liens vers mon site) en https dans ce forum. Il devrait y avoir quelques pages supplèmentaires avec cadenas vert.
D'ailleurs, je viens de voir que ton certificat est aussi en 2kb au lieu de 4kb... et vu dans un autre sujet que tu préfères cette situation, bien qu'automatique. Ayant la même situation avec les certificats auto trimestrielles de cPanel (partenaire de mon hébergeur et utilisant Comodo, mais pas encore bien compris les imbrications entre Comodo, cPanel et mon hébergeur), cela fera un reproche en moins dans le futur ticket que je ferai sur la sécurité en https.
Mon problème avec Google s'est aussi réglé, tout seul !
Comme quoi, les nuls de l'informatique ont peut être raison, finalement: c'est de la magie!^^
En tout cas, tant mieux.