Forums d'assistance et de discussion sur les logiciels produits par Mozilla ou créés à partir des technologies Mozilla. Ce site ne dépend pas de la fondation Mozilla et est maintenu par un collectif de bénévoles.
Quand tout est (trop ?) bien organisé, il y a besoin d'une ouverture. Ici on parle de tout, mais pas de n'importe quoi et toujours dans le respect d'autrui, vous êtes prévenus.
Omnisilver a écrit :il n'ait pas aboutit avant la sortie de Firefox 3.
Si jamais les 3.0.x peuvent inclure de nouveaux certificats de CA.
@Rpkx: tout à fait d'accord, j'utilise d'ailleurs quotidiennement des certificats auto-signés, parfaitement sûrs. Et mes mails sécurisés le sont par PGP, mes connaissances ayant reçu ma clé publique soit en main propre, soit par deux moyens (la clé d'un côté, par mail; le hash par téléphone pour contrôler) - bon j'avoue parfois j'ai juste envoyé le mail
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
Rpkx a écrit :Pour moi un rare certificat valide et à 101 % fiable est celui que délivre l'Etat et personne d'autre.
J'ai une carte d'identité électronique avec une pupuce (Diable merci, on ne me l'a pas encore mise sous la peau du cou comme à mon Rocky), un lecteur de cartes à puces offert par l'état et donc une signature certifiée par l'Etat belche, mais big problème, ils ont demandé à un société quelconque d'écrire le programme de lecture de la carte et celui-ci quand j'ai réussi à l'installer une première fois était tellement mal fichu que je ne m'en suis servi qu'une fois pour le tester.
Je ne veux pas briser tes illusions sur sa fiabilité, mais il n'y a pas que le programme qui est mal fichu (ou bien ça en découle, je ne sais pas). Il serait relativement facile de faire une copie de la puce et de son certificat.
D'ailleurs, le « Belgium Root CA » n'est pas intégré dans Firefox, aussi je pense suite à leur manque de sérieux.
♫ Li tens s'en veit, je n'ai riens fais ;
Li tens revient, je ne fais riens. ♪
Si on met en doute la fiabilité d'une carte d'identité électronique délivrée par l'État, alors que penser du reste des documents officiels (ancienne carte, passeport, permis de conduire). Sur quoi peut donc alors se baser une société comme VeriSign pour attester de l'identité de quelqu'un ?
Thawte demandait pour m'accorder un certificat "validé" de me présenter à un "notaire" muni de quelques documents d'identité et bien sûr de lui payer une somme de 30 (ou plus, j'ai oublié le montant exact). Mais ils n'ont que quelques notaires pour toute la Belgique.
Pour copier ma carte d'identité et le contenu de la puce, il faudrait d'abord se la procurer. Je ne suis pas du genre à perdre mon porte-feuille ou à le laisser traîner.
Je ne sais si tu as déjà eu l'occasion d'installer sous Windows ce programme de lecture de carte à puce pour la carte d'identité belge et de l'utiliser.
Quand j'ai réussi à l'installer en m'y reprenant plusieurs fois tellement la procédure est mal expliquée, cela a été pour constater que le programme était tellement mal torché qu'il était peu pratique, pour ne pas dire ch... à utiliser.
@+
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
Bon, je crois qu'une petite explication sur le fonctionnement des certificats s'impose.
1. Qu'est-ce qu'un certificat ?
De façon résumé, un certificat est la partie publique d'une clé de chiffrement asymétrique. Cette clé permet, entre autre, de vérifier les signatures créées avec la clé privée associé.
2. Qu'est ce qui garantit qu'un certificat est correcte ?
En plus de contenir une clé publique et quelques informations sur le propriétaire, un certificat est signé numériquement par quelqu'un à l'aide de sa clé privée. On peut donc vérifier un certificat en utilisant le certificat de l'émetteur pour vérifier la signature.
3. Oui mais, s'il faut un certificat pour garantir un autre certificat, comment est certifié le certificat racine à l'origine de la chaîne ?
Les certificats racines sont des certificats auto-signés. C'est à dire qu'ils sont signés en utilisant leur propre clé privée. Pour vérifier leur validité, il faut utiliser leur propre clé publique. Un certificat auto-signé n'offre donc aucune garantie !
4. Mais alors, si les certificats racines ne sont pas fiables (car auto-signés) aucun ne l'est ! Comment est établi la confiance dans ce cas ?
L'astuce pour établir la chaîne de confiance, c'est qu'un certain nombre de certificats racines de confiance sont intégrés de base dans l'OS, et d'autres peuvent être ajouté par l'administrateur pour des besoins particuliers. Dans le cas de Firefox, Firefox intègre son propre gestionnaire de certificats et ses propres certificats racines de confiance.
bobo a écrit :Un certificat auto-signé n'offre donc aucune garantie !
Pas nécessairement: si Rpkx m'envoie un certificat auto-signé et me téléphone pour me donner le hash: j'ai ma garantie.
Bien sûr il faut une action de ma part (contrôle du certificat: ce que je valide dans Firefox en "ajoutant une exception"), ce que j'estime n'avoir pas besoin de faire pour un certificat issus par un CA reconnu par Mozilla (car j'estime que l'audit effectué me donne un certain nombre de garanties sur le fait que le possesseur de la clé privée du certificat possède le(les) noms de domaine associé(s)).
Il est clair que si on ne fait pas confiance à l'audit, la chaîne est brisée et il vaudrait mieux retirer les CA de son Firefox.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
En fait, ce qu'il manque et que j'aimerais, c'est pouvoir demander à Firefox de me signaler lorsque certains sites (ma banque par exemple) change de certificat. Car à ce moment, j'aimerais recontrôler le hash.
Il y a des sites où les garanties du CA me suffisent, d'autres où ce n'est pas le cas.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
Mais pourquoi devrais-je faire plus confiance à Mozilla, une vague entité américaine, pour ses certificats qu'à l'État belge qui signe les certificats qu'il délivre ?
Si Firefox ne veut pas reconnaître les certificats délivrés par un état à ses propres ressortissants c'est lui qui ne paraît pas très sérieux.
@+
P.S. : J'ai fait mes débuts en cryptographie en 1970 et j'utilise PGP depuis plus de 10 ans déjà. La première version que j'ai utilisée était uniquement sous DOS. L'interface graphique est venue par après.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
Rpkx a écrit :Mais pourquoi devrais-je faire plus confiance à Mozilla, une vague entité américaine, pour ses certificats qu'à l'État belge qui signe les certificats qu'il délivre ?
En théorie, il n'y a pas de raison de faire plus confiance en Mozilla qu'en l'état Belge. Tu es libre de retirer les certificats racines de Firefox et d'ajouter ceux de ton choix.
Si tu as un moyen digne de confiance d'obtenir le certificat racine de l'état Belge, tu peux l'importer dans la liste des certificats des autorités de confiance et tu n'auras plus d'alertes.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; fr; rv:1.8.1.14) Gecko/20080512 Camino/1.6.1 Firefox/2.0.0.6 (MultiLang) (like Firefox/2.0.0.14)
bobo a écrit :Un certificat auto-signé n'offre donc aucune garantie !
Pas nécessairement: si Rpkx m'envoie un certificat auto-signé et me téléphone pour me donner le hash: j'ai ma garantie.
Oui, effectivement, mais le certificat seul ne suffit pas à fournir cette garantie. Il faut un contrôle supplémentaire.
Message envoyé avec : Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; fr; rv:1.8.1.14) Gecko/20080512 Camino/1.6.1 Firefox/2.0.0.6 (MultiLang) (like Firefox/2.0.0.14)
bobo a écrit :Un certificat auto-signé n'offre donc aucune garantie !
Pas nécessairement: si Rpkx m'envoie un certificat auto-signé et me téléphone pour me donner le hash: j'ai ma garantie.
Oui, effectivement, mais le certificat seul ne suffit pas à fournir cette garantie. Il faut un contrôle supplémentaire.
Exact et l'on indique à Firefox que l'on a fait ce contrôle supplémentaire en "Ajoutant une exception".
Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
Comment accéder aux pages en https de lautre.net avec Firefox 3 ?
Firefox 3 a modifié son comportement par défaut pour l'accès aux sites sécurisés. Dorénavant, lorsque vous visitez une page chiffrée ssl (adresse en https) dont le certificat n'est pas reconnu (c'est-à-dire n'a pas été acheté fort cher), un message d'avertissement apparaît qui ressemble fort à une page d'erreur).
Pour résoudre ce problème, deux solutions :
* ou bien vous utilisez le lien Ajouter une exception présent dans le message d'avertissement et vous suivez les instructions pour autoriser l'accès aux sites ssl de lautre.net
* ou bien vous installez directement le certificat de lautre.net, accessible à la page suivante : http://etc.php?page=aide
Tout est dit. Mais si.
Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9) Gecko/2008061719 Minefield/3.0
Comment accéder aux pages en https de lautre.net avec Firefox 3 ?
Firefox 3 a modifié son comportement par défaut pour l'accès aux sites sécurisés. Dorénavant, lorsque vous visitez une page chiffrée ssl (adresse en https) dont le certificat n'est pas reconnu (c'est-à-dire n'a pas été acheté fort cher), un message d'avertissement apparaît qui ressemble fort à une page d'erreur).
Pour résoudre ce problème, deux solutions :
* ou bien vous utilisez le lien Ajouter une exception présent dans le message d'avertissement et vous suivez les instructions pour autoriser l'accès aux sites ssl de lautre.net
* ou bien vous installez directement le certificat de lautre.net, accessible à la page suivante : http://etc.php?page=aide
C'est parce qu'ils ne savent pas...en ce qui me concerne et en tant que webmaster c'est réglé cette histoire de page d'erreur avec firefox 3 (plus d'alerte bidon )
pour ma part je loue un serveur dédié fournis avec un certificat SSL validé par géotrust.
il me semblait que cette société été bien "valable" et bien même sur son propre site, on retrouve ce vilain message de firefox.
brosto a écrit :pour ma part je loue un serveur dédié fournis avec un certificat SSL validé par géotrust.
il me semblait que cette société été bien "valable" et bien même sur son propre site, on retrouve ce vilain message de firefox.
Benoit a écrit :
La seconde par contre produit bien une vraie erreur.
C'est en rapport avec le certificat client, rien à voir avec firefox pour le coup...
brosto, tu dois avoir en magasin dans le rayon "vos certificats" un certificat émanant d'equinox (ou geotrust.com, bref), clic dessus, fais "voir", et regardes s'il n'a pas expiré...
S'il n'y a rien, cà signifie que tu as oublié de l'importer
)