Suivi — Administration système Certificat signé en MD5 et Aurora

#901 Posté par  . État de l’entrée : corrigée. Assigné à Benoît Sibaud.
Étiquettes : aucune
2
29
avr.
2012

Lorsque l’on essaye d’accéder au site en HTTPS avec Aurora, on obtient l’erreur suivante, même si l’on a déjà accepté le certificat de LinuxFR:
Titre de l'image
En passant dans about:config, et en basculant la clef security.enable_md5_signatures à true, il est de nouveau possible d’accéder au site.
https://bugzilla.mozilla.org/show_bug.cgi?id=590364
https://bugzilla.mozilla.org/show_bug.cgi?id=650355

En fait, mon but n’est pas tant, d’ouvrir un bug que de donner une piste a quelqu’un ayant un problème pour accéder au site. Donc, cela aurait peut-être plus sa place dans le wiki?

  • # Idem que pour un Firefox classique

    Posté par  (site web personnel) . Évalué à 2 (+0/-0).

    Testé avec Aurora 14.0a2 (2012-05-06) sur un profil neuf. Pas vu de différence avec un Firefox classique : j'ai ajouté les certificats racine de CaCert, et le site marche comme d'habitude.

  • # Même chose avec Chrome

    Posté par  . Évalué à 1 (+0/-0).

    Je rebondis sur cette entrée au lieu d'en ajouter une nouvelle. J'ai le même problème avec le navigateur Chrome de Google. Voici la page d'erreur:
    Le certificat de sécurité du site a été signé avec un algorithme de signature faible.

    Qui dit:

    Le certificat de sécurité du site a été signé avec un algorithme de signature faible.
    Vous avez tenté d'accéder à linuxfr.org, mais le serveur a présenté un certificat signé à l'aide d'un algorithme de signature faible. Il est possible que le certificat fourni par le serveur ait été falsifié. Il se peut donc que le serveur ne soit pas celui auquel vous souhaitez accéder, et qu'il s'agisse d'une tentative de piratage.
    Ne poursuivez pas cette opération, notamment si vous n'avez jamais vu cet avertissement concernant ce site auparavant.

    J'ai également trouvé un commentaire de l'équipe de CACert:
    https://lists.cacert.org/wws/arc/cacert-support/2012-05/msg00015.html

    you talk about this situation:

    CAcert Root --MD5--> CAcert Class 3 --SHA1--> Your Cert

    This is probably a misconfiguration of your web server. I recommend to
    reconfigure it to send the SHA256 re-signed Class 3. Here's how to do that:
    1. Download the re-signed Class 3 from the website: https://www.cacert.org/certs/class3.crt
    2. Verify that the fingerprint is correct.
    "openssl x509 -fingerprint -noout -in class3.crt" should print
    AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
    3. Configure Apache to use the re-signed Class 3 as the certificate
    chain. Set "SSLCertificateChainFile /etc/ssl/certs/cacert.class3.pem"
    (adjusting the path when stored somewhere else) in those places of the
    config files where you also set "SSLEngine on".

    S'agit-il donc d'une "mauvaise" config du serveur / certificat de Linuxfr?

    A+

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.