Suivi — Administration système Certificat signé en MD5 et Aurora

#901 Posté par Frank-N-Furter le 29 avril 2012 à 09:05. État de l’entrée : corrigée. Assigné à Benoît Sibaud.

Étiquettes : aucune

avr.

2012

Lorsque l’on essaye d’accéder au site en HTTPS avec Aurora, on obtient l’erreur suivante, même si l’on a déjà accepté le certificat de LinuxFR:

En passant dans about:config, et en basculant la clef security.enable_md5_signatures à true, il est de nouveau possible d’accéder au site.
https://bugzilla.mozilla.org/show_bug.cgi?id=590364
https://bugzilla.mozilla.org/show_bug.cgi?id=650355

En fait, mon but n’est pas tant, d’ouvrir un bug que de donner une piste a quelqu’un ayant un problème pour accéder au site. Donc, cela aurait peut-être plus sa place dans le wiki?

# Idem que pour un Firefox classique

Posté par Benoît Sibaud (site web personnel) le 06 mai 2012 à 18:00. Évalué à 2 (+0/-0).

Testé avec Aurora 14.0a2 (2012-05-06) sur un profil neuf. Pas vu de différence avec un Firefox classique : j'ai ajouté les certificats racine de CaCert, et le site marche comme d'habitude.

Répondre
- [^] # Re: Idem que pour un Firefox classique
  
  Posté par Frank-N-Furter le 07 mai 2012 à 08:50. Évalué à 2 (+0/-0).
  
  Ils ont fait machine arrière pour le moment.
  
  Depending on the time of day, the French go either way.
  
  Répondre
# Même chose avec Chrome

Posté par cjlano le 02 août 2012 à 09:33. Évalué à 1 (+0/-0).

Je rebondis sur cette entrée au lieu d'en ajouter une nouvelle. J'ai le même problème avec le navigateur Chrome de Google. Voici la page d'erreur:

Qui dit:

Le certificat de sécurité du site a été signé avec un algorithme de signature faible.
Vous avez tenté d'accéder à linuxfr.org, mais le serveur a présenté un certificat signé à l'aide d'un algorithme de signature faible. Il est possible que le certificat fourni par le serveur ait été falsifié. Il se peut donc que le serveur ne soit pas celui auquel vous souhaitez accéder, et qu'il s'agisse d'une tentative de piratage.
Ne poursuivez pas cette opération, notamment si vous n'avez jamais vu cet avertissement concernant ce site auparavant.

J'ai également trouvé un commentaire de l'équipe de CACert:
https://lists.cacert.org/wws/arc/cacert-support/2012-05/msg00015.html

you talk about this situation:

CAcert Root --MD5--> CAcert Class 3 --SHA1--> Your Cert

This is probably a misconfiguration of your web server. I recommend to
reconfigure it to send the SHA256 re-signed Class 3. Here's how to do that:
1. Download the re-signed Class 3 from the website: https://www.cacert.org/certs/class3.crt
2. Verify that the fingerprint is correct.
"openssl x509 -fingerprint -noout -in class3.crt" should print
AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
3. Configure Apache to use the re-signed Class 3 as the certificate
chain. Set "SSLCertificateChainFile /etc/ssl/certs/cacert.class3.pem"
(adjusting the path when stored somewhere else) in those places of the
config files where you also set "SSLEngine on".

S'agit-il donc d'une "mauvaise" config du serveur / certificat de Linuxfr?

A+

Répondre
- [^] # Re: Même chose avec Chrome
  
  Posté par Benoît Sibaud (site web personnel) le 04 août 2012 à 17:30. Évalué à 3 (+0/-0).
  
  Effectivement le certificat Class3 de CaCert était celui d'origine et n'avait pas été mis à jour sur le serveur. C'est corrigé. Merci.
  
  Répondre