Echec certificat ssl sur une machine et pas sur l'a

[Olivier2230]

Bonjour à tous,

J'ai deux machines M1 et M2 avec Firefox 3.6.3 dessus.
J'accède à un serveur (j'en suis le webmaster) en https.
Une machine accepte de se connecter et pas l'autre (sec_error_untrusted_issuer).

Description des certificats
~~~~~~~~~~~~~~~~~~~~~~
Le serveur fournit 4 certificats : C1, C2, C3 et C4.
C1 et C2 sont déjà dans la liste des certificats (sur les 2 machines),
C3 n'y est pas, C3 étant l'autorité de certification de C4,
C4 correspond au site sécurisé.

Le symptome
~~~~~~~~~~~
Sur M1 : le site est ouvert sans problème: quand je vais voir les certificats, C3 a été ajouté.
Sur M2 : connexion non certifiée (sec_error_untrusted_issuer) :quand je vais voir les certificats, C3 N'a PAS été ajouté.

Comment debugger ce genre de problème ? Y-a-t-il un mode debug de firefox où l'on puisse comprendre ce qui diffère entre les 2 installs de firefox pour expliquer ce comportement ?

Merci d'avance, Olivier.

[teoli2003]

1) Peux-tu donner le message d'erreur en entier
2) Commence par vérifier l'horloge de la machine où cela ne marche pas (c'est con, mais cela arrive souvent).

[Olivier2230]

Merci de ta réponse, teoli2003,

Voici les réponses à tes questions :
1/ Le message d'erreur
(J'ai anonymisé l'adresse par peur des robots).
Cette connexion n'est pas certifiée
Vous avez demandé à Firefox de se connecter de manière sécurisée à XXX.XXX.XXX:8443, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.
XXX.XXX.XXX:8443 utilise un certificat de sécurité invalide.
Le certificat n'est pas sûr car l'autorité délivrant le certificat n'est pas éprouvée.
(Code d'erreur : sec_error_untrusted_issuer)

2/ L'horloge
La machine du firefox est à la bonne heure.
Celle du serveur a 5 mn de retard par rapport à la bonne heure.
Ca pose problème ?

3/ Changement de profil Firefox
En utilisant les conseils affichés par ailleurs sur Geckozone (merci Geckozone), sur la machine qui pose problème, j'ai créé un 2ème profil sous Firefox.
Et bien, ça fonctionne sous le nouveau profil (alors que toujours pas sous le profil original).

Olivier.

[nico@nc]

Bonjour,

Pas de problème pour l'horloge s'il ne s'agit que de cinq minutes.

Dans l'ancien profil, Outils > Options > Avancé > Chiffrement > Afficher les certificats > Autorités > clique sur le bouton [modifier] correspondant à l'émetteur du certificat et vérifie que les trois cases sont cochées dans le dialogue qui s'ouvre.

[Olivier2230]

Merci Nico,
Tu as mis le doigt sur quelque chose. Il s'avère que ma base de certificats est verrolée.

En effet, dans l'ancien profil (le pourri), le certificat qui est censé identifier présente 2 problèmes :
1/ Il est en double :
- la première occurrence apparaît sous l'organisation attendue,
- la deuxième occurrence apparaît sous l'organisation de son propre émetteur !
2/ Dans les 2 occurrences (bouton modifier) : aucun des trois choix n'est coché.

Ce que j'ai fait :
Action 1 : j'ai coché les 3 choix pour la première occurrence
=> aucun changement, même message,
Action 2 : j'ai coché le premier choix pour la deuxième occurrence
=> ça se met à marcher. C'est donc l'occurrence mal placée qui débloque le problème,
Action 3 : j'ai supprimé la deuxième occurrence, me disant que la première reprendrait la main (avec 3 choix cochés)
=> ça se remet à échouer, alors que l'action 1 est toujours valide !

Avec action3, je pensais me retrouver dans une situation déverrolée, mais en fait non !

Existe-t-il un outil qui permettrait de déverroler une base de certificats, en vérifiant la cohérence de chaque enregistrement par rapport à la définition de chaque certificat, ou un outil qui identifie les incohérences ?

Olivier.