[Debian-Facile] Changement de certificat SSL

jéjé · 05-05-2015 09:55:46

deuchdeb a écrit :

Pour Chromium il faut rentrer les lignes suivantes

Copiez/collez les, les unes après les autres (une par une) suivi de Entrée, et tout fonctionne, je viens de le tester.

apt-get install libnss3-tools

wget http://www.cacert.org/certs/root.crt
wget http://www.cacert.org/certs/class3.crt
certutil -d sql:$HOME/.pki/nssdb -A -t "TCu,Cu,Tuw" -n "CACert Class 1 Root Certificate" -i root.crt
certutil -d sql:$HOME/.pki/nssdb -A -t "TCu,Cu,Tuw" -n "CACert Class 3 Root Certificate" -i class3.crt
rm root.crt class3.crt

Fermer Chromium et le réouvrir.

Sources: http://cad.cx/blog/2009/08/11/howto-add … -chromium/

bonjour,
juste pour info , ça marche aussi pour chrome ces commandes .

captnfab · 08-05-2015 23:31:06

Bonsoir à tous,

Depuis hier soir, nous sommes de retour chez GlobalSign, avec à nouveau une offre d'un an.
Vous pouvez consulter ici l'état de la configuration SSL du serveur : https://www.ssllabs.com/ssltest/analyze … facile.org

vv222 · 09-05-2015 00:14:40

captnfab a écrit :

Depuis hier soir, nous sommes de retour chez GlobalSign, avec à nouveau une offre d'un an.
Vous pouvez consulter ici l'état de la configuration SSL du serveur : https://www.ssllabs.com/ssltest/analyze … facile.org

Une idée de pourquoi Iceweasel n’a pas râlé chez moi suite au changement de certificat ?
Il est habituellement tellement chatouilleux à ce sujet que je m’attendais à une tempête d’alarmes, mais rien, il a juste adopté le nouveau certificat sans même m’en faire part. Et honnêtement ça m’inquiète un peu qu’un changement de certificat pour un site ne me soit pas signalé par mon navigateur à partir du moment où l’autorité signataire est "de confiance".

PS : Bravo pour le A+, même ma banque n’est pas aussi bien notée.

Dernière modification par vv222 (09-05-2015 00:18:26)

Anonyme-8 · 09-05-2015 00:24:51

vv222 a écrit :

captnfab a écrit :
Depuis hier soir, nous sommes de retour chez GlobalSign, avec à nouveau une offre d'un an.
Vous pouvez consulter ici l'état de la configuration SSL du serveur : https://www.ssllabs.com/ssltest/analyze … facile.org

Une idée de pourquoi Iceweasel n’a pas râlé chez moi suite au changement de certificat ?
Il est habituellement tellement chatouilleux à ce sujet que je m’attendais à une tempête d’alarmes, mais rien, il a juste adopté le nouveau certificat sans même m’en faire part. Et honnêtement ça m’inquiète un peu qu’un changement de certificat pour un site ne me soit pas signalé par mon navigateur à partir du moment où l’autorité signataire est "de confiance".

PS : Bravo pour le A+, même ma banque n’est pas aussi bien notée.

si ça te pose pb, regarde ici https://packages.debian.org/jessie/xul- … catepatrol

vv222 · 09-05-2015 00:27:49

Anonyme-8 a écrit :

si ça te pose pb, regarde ici https://packages.debian.org/jessie/xul- … catepatrol

Merci !

Ça ne réglera qu’une partie de mes problèmes avec la gestion des certificats par les navigateurs courants (liste de prestataires "de confiance" imposée), mais ce sera toujours une amélioration par rapport au statu quo.

Dernière modification par vv222 (09-05-2015 00:28:29)

anonyme · 09-05-2015 12:29:15

quand j ouvre un tuto de df , il m affiche une alerte , alors que juste avant sur la page du wiki s'était correct (ou une page du forum ).

captnfab · 09-05-2015 12:50:19

@anonyme: je suppose que c'est parce que le lien était un ancien lien vers debian-facile.org. Je n'ai pas encore corrigé les liens du forum. Du coup, ils pointent vers l'ancien nom de domaine, qui lui restera avec un certificat CACert (i.e. non accepté par les navigateurs par défaut…)

@vv222: oui, a priori, qd le site change de certificat (et même de certificat racine) mais qu'il donne bien toutes les bonnes informations, le navigateur ne râle pas par défaut.

captnfab · 09-05-2015 13:03:13

Voilà, j'ai changé les URL wiki.debian-facile.org en debian-facile.org dans tous les posts du forum. Il y en avait plus de 5000 et ça a pris à peine plus d'une demi-seconde. Ça va, MySQL fait bien ce qu'on lui demande…

Anonyme-8 · 09-05-2015 13:30:47

il me semble que j'avais un gros pb avec des urls en wiki.debian-facile.org avec un message d'alerte et impossible d'aller plus loin avec Iceweasel.
C'était avec un marque-page mais j'ai pas eu de pb lors de la navigation sur DF.

Merci pour ton travail.

anonyme · 09-05-2015 13:30:59

Merci

smolski · 09-05-2015 13:34:16

matelot a écrit :

ça a pris à peine plus d'une demi-seconde

une demi-s'conde pour df et un krô merci à toi tout entier !

captnfab · 12-07-2016 15:26:27

Bonjour à tous,

Je viens de procéder à une mise à jour des certificats. Nous utilisons désormais letsencrypt. Nous ne sommes donc plus dépendant de GlobalSign comme avant. Les certificats pour les anciens sous-domaines et sous-domaine de dev ne sont plus signés avec cacert mais également avec letsencrypt, ce qui devrait rendre la navigation plus homogène pour les navigateurs paranoïaques

Pour vérification pour les domaines actifs :
- SHA-256: D1:57:BB:F4:0A:93:75:19:C6:D1:CA:84:A6:A4:9C:92:B5:4F:FB:D5:B4:21:32:90:F4:03:CF:F2:21:94:63:5E
- SHA1: 1D:DF:F6:3B:14:6A:FA:BF:0D:28:9F:EE:F6:CB:39:30:40:A7:4C:10

Anonyme-8 · 12-07-2016 16:10:05

on a toujours des pb de mixed content sur le wiki :
https://debian-facile.org/doc:media:xbmc

pour les images et pour les liens, faudrait tout passer en https.
j'en ai déjà parler ailleurs, mais faudrait décider si on passe tout en https (avec Let'sEncrypt la question est plus facile) et si oui, faudrait prévoir un regex pour remplacer les liens à l'intérieur du wiki qui pointent sur DF.

captnfab · 12-07-2016 16:22:24

Non, pour les images et les liens, il ne faut pas mettre le chemin absolu mais le chemin relatif. Pareil pour les liens sur le forum d'ailleurs, [url=/viewtopic…, [img=/images/…, plutôt que [url=http…

Sur le wiki, on peut lutter contre les « mixed contents » et détectant les images externes automatiquement. Pour le forum, ça me semble impossible… On peut considérer comme une bonne pratique de ne pas inclure d'image de l'extérieur dans les signatures par exemple. Ou recommander aux utilisateurs d'utiliser des modules comme RequestPolicy pour se protéger. Mais bon, ces contraintes et solutions sont difficiles à comprendre et mettre en œuvre pour les débutants…

Anonyme-8 · 12-07-2016 16:29:02

effectivement c'est mieux de cette manière.

PengouinPdt · 14-07-2016 22:51:46

Ca serait bien de changer le titre du topic aussi

(pour enlever à minima 'retour vers CAcert ...)

captnfab · 04-08-2016 16:42:16

Bonjour, il restait un bout de vieille config dans un fichier. Donc DF utilisait un « vieux » (pas trop non plus, les certificats cacerts ont une durée de vie très courte) certificat au lieu des nouveaux qui sont mis à jour régulièrement…
D'où la petite coupure de cet après-midi ! Problème corrigé.
Désolé pour la petite blague

Anonyme-8 · 04-08-2016 16:49:06

on est sauvé

bendia · 10-10-2016 16:16:38

Salut

Nos certificats SSL expirés ont entraîné une coupure ce midi.

Nous investiguons pour cerner le problème afin d'éviter qu'il ne se reproduise

Désolé pour cette nouvelle petite blague, les certificats SSL semblent bien facétieux

Debian-facile

#26 05-05-2015 09:55:46

Re : [Debian-Facile] Changement de certificat SSL

#27 08-05-2015 23:31:06

Re : [Debian-Facile] Changement de certificat SSL

#28 09-05-2015 00:14:40

Re : [Debian-Facile] Changement de certificat SSL

#29 09-05-2015 00:24:51

Re : [Debian-Facile] Changement de certificat SSL

#30 09-05-2015 00:27:49

Re : [Debian-Facile] Changement de certificat SSL

#31 09-05-2015 12:29:15

Re : [Debian-Facile] Changement de certificat SSL

#32 09-05-2015 12:50:19

Re : [Debian-Facile] Changement de certificat SSL

#33 09-05-2015 13:03:13

Re : [Debian-Facile] Changement de certificat SSL

#34 09-05-2015 13:30:47

Re : [Debian-Facile] Changement de certificat SSL

#35 09-05-2015 13:30:59

Re : [Debian-Facile] Changement de certificat SSL

#36 09-05-2015 13:34:16

Re : [Debian-Facile] Changement de certificat SSL

#37 12-07-2016 15:26:27

Re : [Debian-Facile] Changement de certificat SSL

#38 12-07-2016 16:10:05

Re : [Debian-Facile] Changement de certificat SSL

#39 12-07-2016 16:22:24

Re : [Debian-Facile] Changement de certificat SSL

#40 12-07-2016 16:29:02

Re : [Debian-Facile] Changement de certificat SSL

#41 14-07-2016 22:51:46

Re : [Debian-Facile] Changement de certificat SSL

#42 04-08-2016 16:42:16

Re : [Debian-Facile] Changement de certificat SSL

#43 04-08-2016 16:49:06

Re : [Debian-Facile] Changement de certificat SSL

#44 10-10-2016 16:16:38

Re : [Debian-Facile] Changement de certificat SSL

Pied de page des forums