quenbo Posté(e) le 31 janvier 2017 Posté(e) le 31 janvier 2017 (modifié) Salut à tous, en me basant sur différents tutos, j'ai certifié mon domaine xxxx.be via StartSSL la semaine passée, et tout allait bien jusqu'à hier. Plus d'alertes "connexion non sécurisée", un beau cadenas vert certifié StartCom et tout le toutim. (juste une alerte en locale 192.168 que j'ai mis en exception permanente) Cependant, depuis hier soir, j'ai sur Firefox un refus de connexion : "Une erreur est survenue pendant une connexion à xxxx.be:port. Le certificat du pair a été révoqué. Code d’erreur : SEC_ERROR_REVOKED_CERTIFICATE" Par contre via Edge je me connecte sans soucis et sans erreur J'ai donc parcouru la toile et tenté divers solutions : vérifier l'heure de mon PC, vider le cache, décocher "interroger le répondeur OCSP" (Options > Avancé > Certificat), désinstaller avec Revo Uninstaller Firefox, etc... Sans succès... Puis, je suis tombé sur un post qui abordait les certificats StartSSL et le fait qu'il ne fallait pas se tromper car sinon il fallait payer pour révoquer les certificats erronés. Ca m'a fait penser que j'avais du recommencer la semaine passée mon certificat StartSSL qui initialement ne comprenait pas mon sous domaine nas.xxxx.be et générait une erreur. Bref j'avais recommencé en incluant le sous-domaine nas.xxxxx.be, ça avait fonctionné et j'avais vaguement tenté de révoquer le premier certificat, mais comme ils attendaient un paiement et qu'en plus ça fonctionnait avec le 2ème certif je n'ai pas été plus loin et il est resté vaguement "revoked en attente de paiement" (jusqu'à ce que je le remette en "issued" hier soir), sans effet... Pour couronner le tout, en rédigeant ce post, et en constatant que les certificats ont des numéros d'ordre, je me demande si je n'ai pas été grandiose et que je n'ai pas révoqué le deuxième certificat (le bon) la semaine passée. Comme vous le verrez dans le printscreen, je l'ai réactivé mais finalement je me suis bien emmêlé les pinceaux et je voulais savoir si le type d'erreur que j'ai dans Firefox pouvait être lié à ça, et voir aussi si il y avait une possibilité de remettre de l'ordre dans tout ça... Parce que par exemple je n'ai pas certifié non plus le sous-domaine mail.xxxx.be (ce qui m'a embêté) et je parie qu'il me faudra de temps en temps ajouter un sous-domaine supplémentaire au fur et à mesure de mes avancées... Qu'en pensez vous et avez vous une solution? Merci ! PS : Y a-t-il un moyen d'éviter les erreurs de certificats en local 192.168? Modifié le 31 janvier 2017 par quenbo 0 Citer
Mic13710 Posté(e) le 31 janvier 2017 Posté(e) le 31 janvier 2017 C'est tout simplement parce que StartCOM (donc StarSSL) n'est plus reconnu comme entité de certification par Firefox depuis la toute dernière version (51). Tous les certificats récents ne sont plus acceptés. C'était déjà le cas sur les autres navigateurs (Apple, Google, autres). Je crois qu'il ne reste plus que IE et Edge (à vérifier car je n'ai ni l'unni l'autre). J'avais moi aussi renouvelé mon certificat début novembre (j'avais même fait un tuto pour aider au renouvellement), et j'ai du en changer. Je suis passé à Let's Encrypt qui est proposé en installation sur nos NAS à partir de DSM6.0. C'est simple et rapide. 0 Citer
quenbo Posté(e) le 31 janvier 2017 Auteur Posté(e) le 31 janvier 2017 (modifié) Merci pour l'info . En effet je viens de réinstaller la version 50 et ça fonctionne, mais le temps de décocher la MAJ auto de Firefox (qq secondes) il était déjà repassé en v51 et j'ai du recommencer, mais bref ça refonctionne. Pensez vous que cette décision de sécurité de Mozilla est justifiée et y-a-il moyen de de forcer Firefox a accepter les certificats StartSSL (au moins pour mon site) en, par ex, forçant l'importation des certificats ??? Sinon quel est le meilleur moyen de gérer mon problème actuel de double certificats StartSSL et de probable futur besoin de nouveau certificat pour de nouveau sous-domaines ? et via le 192.168 ? Je crois que DSM 6 permet de gérer plusieurs certificats mais pas DSM 5.2 (dois je migrer vers le DSM 6?) Merci à tous ceux qui éclaireront un peu le monde obscur des certificats :-) Modifié le 31 janvier 2017 par quenbo 0 Citer
Mic13710 Posté(e) le 31 janvier 2017 Posté(e) le 31 janvier 2017 Je viens tout juste de migrer à DSM6 la semaine dernière justement à cause du certificat et pour d'autres raisons. Ca s'est passé sans soucis. Le problème de StartSSL c'est qu'il est question de mettre ne place une mesure provisoire mais seulement dans .... 3 mois. Autant dire qu'on aura eu le temps d'ici là de tuer un âne à coups de trique. L'autre problème, plus grave, c'est que ce bannissement peut durer très longtemps et qu'il est donc inutile de conserver un certificat qui n'est plus reconnu par la plupart des navigateurs. Avec DSM6, vous pouvez bien entendu gérer plusieurs certificats (mais je n'en vois pas l'intérêt), mais le plus important c'est de pouvoir mettre en place un certificat Let's Encrypt en seulement quelques clics. Il faut seulement que le port 80 soit redirigé vers le NAS. 0 Citer
Fenrir Posté(e) le 31 janvier 2017 Posté(e) le 31 janvier 2017 StartCom et WoSign ont joué aux cons, ils ont perdu, bien fait (dommage pour les clients). Dans ton cas, si le certificat ne sers qu'à toi, tu peux créer ta propre autorité et mettre ce que tu veux dedans (y compris 192.168.xxx.xxx), Ça se fait en quelques minutes (le plus long c'est de créer l'autorité, après créer les certificats c'est 10sec). Il te suiffera d'installer cette autorité dans tes navigateurs. C'est ce que je fais pour une partie de mes ressources (j'ai mon autorité pour tout ce qui est privé ou ne nécessite pas un certificat reconnu et letsencrypt pour le reste). Vivement que DANE soit reconnu dans les navigateurs (surtout maintenant que Google est devenu CA) 0 Citer
quenbo Posté(e) le 1 février 2017 Auteur Posté(e) le 1 février 2017 (modifié) En fait j'avais depuis un temps certain un certificat auto-signé mais cela donnait des avertissements à la famille qui accède à Photostation, mais étant donné leur niveau informatique je ne voulais pas leur donner de mauvaise habitude sur les exceptions de sécurité. Bref je suis passé depuis lors en DSM 6 (mais je n'ai pas eu le temps de chipoter dedans) et je vais un peu checker me renseigner sur letsencrypt. En 2 mots, qu'a fait StartSSL en jouant aux cons et quelles sont les conséquences sur la sécurité ? Est-ce définitif à votre avis? Et c'est quoi DANE ??? Merci !!! Modifié le 1 février 2017 par quenbo 0 Citer
Fenrir Posté(e) le 1 février 2017 Posté(e) le 1 février 2017 il y a 38 minutes, quenbo a dit : je ne voulais pas leur donner de mauvaise habitude sur les exceptions de sécurité Tu as raison il y a 38 minutes, quenbo a dit : En 2 mots, qu'a fait StartSSL en jouant aux cons et quelles sont les conséquences sur la sécurité ? Est-ce définitif à votre avis? Ils ont antidaté certaines de leurs autorités de certification pour faire croire qu'ils avaient encore le droit de créer des certificats en SHA1 et ils ont refusé de se faire auditer par un cabinet d'expert afin de vérifier qu'ils respectaient les bien les standards en matière de sécurité. Une partie importante de l'économie mondiale repose sur la confiance dans les CA, il est tout à fait normal de banir les entreprises qui ne sont pas sérieuses. Ça ne devrait pas être définitif, mais s'ils l'ont fait une fois (il ne s'agissait pas d'une erreur technique ou d'un bug), rien ne dit qu'ils ne recommenceront pas (ni qu'ils n'ont pas d'autres mauvaises pratiques) => pour moi : BLACKLIST définitive 0 Citer
gaetan.cambier Posté(e) le 1 février 2017 Posté(e) le 1 février 2017 Il y a 18 heures, Fenrir a dit : Vivement que DANE soit reconnu dans les navigateurs (surtout maintenant que Google est devenu CA) ca va etre la mort de toute les autorités de certifications et leur pompe à fric 0 Citer
Fenrir Posté(e) le 1 février 2017 Posté(e) le 1 février 2017 (modifié) Non, car elles seront encore nécessaire pour l'aspect Assurance Modifié le 1 février 2017 par Lucien77 Inutile de citer le post précédent 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.