Activer mise à jour auto des certificats

[freeman62]

Hello,

J'essaye de deployer Firefox dans mon organisation.
Firefox passe par notre proxy.
Malheureusement, je n'arrive pas à récupérer les certificats SSL (j'ai bloqué toutes les mises à jours et envoies de données vers Mozilla)

Ici https://www.mozilla.org/en-US/privacy/f ... lth-report, nous pouvons lire :

Security

Firefox automatically checks for malicious or forged web pages, broken add-ons, and third-party issued SSL certificates.

Secure Website Certificates: When you visit a secure website (i.e. "https"), Firefox will validate the website's certificate. This may involve communicating with a third-party status provider specified by the certificate. Firefox sends to this third-party information identifying the site's certificate. You can change your preferences, but if you disable the online verification feature, Firefox cannot confirm the identity of the website you are visiting. Turning off this feature may increase the risk of your private information being intercepted. If you encounter an untrusted connection, you can also choose to send Mozilla the associated certificates.

Firefox Forgery and Attack Protection: About twice per hour, Firefox downloads Google's SafeBrowsing lists to help block access to sites and downloads that are malicious or forged (Google's privacy policy is at https://www.google.com/policies/privacy/). For downloaded executables that do not appear in these lists, Firefox may send metadata, including URLs associated with the downloaded file, to the SafeBrowsing service. Visit https://support.mozilla.org/kb/how-does ... ction-work to learn more about or disable Safe Browsing. If you disable these features, Firefox cannot warn you of potentially illegitimate or malicious websites or downloaded files.

Courte Traduction

Certificats de sites web sécurisés.
Lorsque vous accédez à un site web sécurisé (« https »), Firefox va valider le certificat du site web. Ceci peut nécessiter une communication avec un fournisseur de statuts de tiers indiqué dans le certificat. Firefox transmet les informations du tiers qui identifient le certificat du site. Vous pouvez changer vos préférences, mais si vous désactivez la fonction de vérification en ligne, Firefox ne peut pas confirmer l'identité du site web auquel vous avez accédé. Le désactivation de cette fonction risque d'augmenter le risque d'interception de vos informations confidentielles. Si vous rencontrez un lien non sécurisé, vous pouvez également décider de transmettre à Mozilla les certificats associés

Peut être ais-je donc désactivé certaines fonctions qu'il ne fallait pas... ?
Ou se trouve cette "the online verification feature" qui est évoqué ?
Mais je n'arrive pas à voir laquelle ?.... Telemetrie ? Rapport de santé ? Rapport d'erreur ? Service de Maintenance ? Mise à jour Firefox principale ?

Quelqu'un a t-il une idée exacte de ce qu'il faut activé ?
Note : Lorsque j'installe Firefox en mode manuel, cela fonctionne.

Merci beaucoup
Freeman.

[Abraxas]

Il me semble que c'est security.OCSP.enabled http://kb.mozillazine.org/About:co ... s#Security.

[freeman62]

Bonsoir,

Merci pour l'idée Abraxas

Alors je ne connaissais pas le concept de "Online Certificate Status Protocol"
Mais si je le désactive cela signifie que... je vais potentiellement laisser passer les certificats non signés sans avertissements pour l'utilisateur... ? Ce que je ne souhaite pas pour mon organisation bien sûr...


Merci,
Freeman

[Abraxas]

Mais c'est une obligation pour vous de désactiver l'OCSP ?
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0

[freeman62]

Bonjour Abraxas

Non pas du tout, je ne sais pas pourquoi il est désactivé justement !
Comme sous-entendu plus haut, j'ai juste désactivé :
- Health report
- rapports de plantage
- télémétrie
- MAJ firefox
- service de maintenance/arrière plan.

Alors est-ce que le fait de désactiver une de ces fonctions désactiverait l'OSCP que tu évoques ? (si c'est bien l'OSCP le problème...)
Merci
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36

[Abraxas]

En principe non, mais l'utilisateur peut décocher le répondeur OCSP dans Options > Avancé > Certificats.
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0

[freeman62]

Ok mais pourtant ma configuration est comme cela :

Donc je ne comprend pas pourquoi je ne récupère rien...
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36

[Abraxas]

Et ça dit quoi dans la console web quand FF échoue à récupérer les certifs ?
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0

[freeman62]

Bonjour,

Voici une capture d'écran en exemple :



Je vous remercie
Freeman.
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36

[freeman62]

Bonjour ! Petit Up !Merci