Aller au contenu


Photo

Certificat SSL


  • Please log in to reply
31 réponses à ce sujet

#1 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 17 septembre 2014 - 16:10

Salut,

 

Je voudrais passer un site en sécurisé avec https://.

 

J'ai du mal à y voir clair dans la jungle des certificats SSL qu'on peut acheter ici ou là. Je ne savais pas que tant de sociétés en vendaient !

Et du mal à comprendre comment l'installer chez mon hébergeur.

 

Bref, mon domaine est géré par OVH (on peut acheter des certificats chez eux à 60 euros / an par exemple). Mon hébergeur est ricain.

 

Apparemment, il faudrait acheter un certificat, le déposer sur mon serveur, et demander son activation à mon hébergeur ?

 

Ai-je bien compris ? Y-a-til des alternatives gratuites ?

 

J'ajoute que  mon site est déjà en https à l'heure où je vous parle, mais il utilise le certificat (par défaut) de mon hébergeur, et donc les navigateurs envoient des messages comme quoi le certificat n'est pas vérifié. D'où ma question pour avoir et gérer mon propre certificat vérifié.

 

Qui peut me débroussailler tout ça ?


Mes applications iOS: VinoCell

#2 AliGator

AliGator

    Mouleur de chocolats

  • Contrôleur d'arômes
  • 13 621 messages
  • LocationRennes (France)

Posté 17 septembre 2014 - 16:54

Va voir sur https://www.startssl.com/?lang=fr / https://www.startssl.com/?app=1

 

C'est là que je suis allé pour leur demander de me générer un certificat, valide, signé, que j'ai pu utiliser pour mon serveur de livraisons OTA (qui doit maintenant absolument être en HTTPS avec un certificat non pas autosigné mais bien validé par une autorité de certification).

 

C'est plutôt bien expliqué (y'a des tutos pas à pas, ce pour chaque serveur (selon si tu es sur du Apache, du Nginx, autre, …) et système et tout), et en plus, c'est gratuit pour un certificat de classe 1 (ce qui suffit amplement pour un site web à passer en HTTPS tout en étant bien signé par une autorité de certification et donc reconnu comme valide)


La Doc, c'est moi — Devise Shadok : S'il n'y a pas de solution, c'est qu'il n'y a pas de problème !
CocoaPods : Getting StartedLe Blog CocoaPodsCherchez des podsDocs de pods
Mon GitHub: OHHTTPStubs, SwiftGen…
Mon Blog: Crunchy Development

#3 zoc

zoc

    Broyeur de fèves

  • Artisan chocolatier
  • PipPipPipPipPipPip
  • 1 520 messages
  • LocationAntibes, France

Posté 17 septembre 2014 - 17:50

Moi mes domaines sont chez Gandi et ils offrent un certificat SSL par domaine chez eux pour la première année. Après le renouvellement du certificat c'est 12 euros par an. 

 

A voir si c'est pas rentable de transférer ton/tes domaine(s) d'OVH vers Gandi...



#4 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 17 septembre 2014 - 18:09

Moi mes domaines sont chez Gandi et ils offrent un certificat SSL par domaine chez eux pour la première année. Après le renouvellement du certificat c'est 12 euros par an. 

 

A voir si c'est pas rentable de transférer ton/tes domaine(s) d'OVH vers Gandi...

 

Oui, j'avais vu l'offre de Gandi avant de poster, c'est pas mal, même si j'aime bien avoir tous mes domaines gérés par OVH (moins cher de 40%).

 

J'en profite pour poser une question (stupide ?). Même si c'est le registrar qui fournit le certificat, il n'y a rien à faire chez le registrar (en plus des DNS) ? Tout se passe chez l'hébergeur ?


Mes applications iOS: VinoCell

#5 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 17 septembre 2014 - 18:18

Va voir sur https://www.startssl.com/?lang=fr / https://www.startssl.com/?app=1

 

C'est là que je suis allé pour leur demander de me générer un certificat, valide, signé, que j'ai pu utiliser pour mon serveur de livraisons OTA (qui doit maintenant absolument être en HTTPS avec un certificat non pas autosigné mais bien validé par une autorité de certification).

 

C'est plutôt bien expliqué (y'a des tutos pas à pas, ce pour chaque serveur (selon si tu es sur du Apache, du Nginx, autre, …) et système et tout), et en plus, c'est gratuit pour un certificat de classe 1 (ce qui suffit amplement pour un site web à passer en HTTPS tout en étant bien signé par une autorité de certification et donc reconnu comme valide)

 

Je vais regarder ça de suite.

Merci.


Mes applications iOS: VinoCell

#6 zoc

zoc

    Broyeur de fèves

  • Artisan chocolatier
  • PipPipPipPipPipPip
  • 1 520 messages
  • LocationAntibes, France

Posté 19 septembre 2014 - 10:32

Oui, j'avais vu l'offre de Gandi avant de poster, c'est pas mal, même si j'aime bien avoir tous mes domaines gérés par OVH (moins cher de 40%).

 

J'en profite pour poser une question (stupide ?). Même si c'est le registrar qui fournit le certificat, il n'y a rien à faire chez le registrar (en plus des DNS) ? Tout se passe chez l'hébergeur ?

 

Non, il n'y a rien à faire. En fait la seule chose à laquelle il faut faire attention, c'est de bien acheter un certificat avec le nom DNS exact du serveur HTTPS (ou un certificat "wildcard" pour ton domaine de base, mais c'est plus cher), parce qu'à la moindre erreur, le navigateur affichera un warning...



#7 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 11:49

Non, il n'y a rien à faire. En fait la seule chose à laquelle il faut faire attention, c'est de bien acheter un certificat avec le nom DNS exact du serveur HTTPS (ou un certificat "wildcard" pour ton domaine de base, mais c'est plus cher), parce qu'à la moindre erreur, le navigateur affichera un warning...

 

Bon, donc je suis passé par Gandi (gratuit la première année), puis 12 euros, comme tu disais.

C'est assez simple et ça a l'air de marcher.

 

Je n'ai pas pris de wilcard, mais j'ai donné le nom du domaine sans "www" (exemple.com), ce qui permet de le faire marcher avec "www" aussi.

 

Si je teste dans un navigateur, je suis mitigé:

 

- Chrome m'affiche mon https en vert (et non en barré comme hier)

 

Fichier joint  Capture d’écran 2014-09-19 à 12.44.46.png   7,27 Ko   0 téléchargement(s)

 

- Safari ne bronche pas:

 

Fichier joint  Capture d’écran 2014-09-19 à 12.46.09.png   12,5 Ko   0 téléchargement(s)

 

- Par contre FireFox bronche et me dit que la connexion n'est pas certifiée:

 

Fichier joint  Capture d’écran 2014-09-19 à 12.47.39.jpg   318,29 Ko   0 téléchargement(s)


Mes applications iOS: VinoCell

#8 jpimbert

jpimbert

    Broyeur de fèves

  • Artisan chocolatier
  • PipPipPipPipPipPip
  • 1 244 messages
  • LocationToulon

Posté 19 septembre 2014 - 12:13

Il faut sans doute ajouter un certificat racine à Firefox. Le problème vient vraisemblablement du fait que le signataire de ton certificat est inconnu de Firefox.



#9 AliGator

AliGator

    Mouleur de chocolats

  • Contrôleur d'arômes
  • 13 621 messages
  • LocationRennes (France)

Posté 19 septembre 2014 - 12:22

Est-ce que l'erreur que tu as dans Firefox est exactement la même erreur qu'avec l'ancien certificat ?
Je pense à un système de cache des certificats SSL des sites que Firefox pourrait éventuellement utiliser (même si ça ne serait pas très malin, car cela laisserait la porte ouverte aux attaques MITM, mais bon, c'est une hypothèse à vérifier quand même). Du coup un flush de Firefox (je sais pas comment, je n'utilise pas ce navigateur, mais doit bien y avoir moyen) pourrait résoudre le problème. Ou tester sur un autre poste depuis lequel tu n'es jamais allé sur ton site avec Firefox.
La Doc, c'est moi — Devise Shadok : S'il n'y a pas de solution, c'est qu'il n'y a pas de problème !
CocoaPods : Getting StartedLe Blog CocoaPodsCherchez des podsDocs de pods
Mon GitHub: OHHTTPStubs, SwiftGen…
Mon Blog: Crunchy Development

#10 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 12:52

Est-ce que l'erreur que tu as dans Firefox est exactement la même erreur qu'avec l'ancien certificat ?
Je pense à un système de cache des certificats SSL des sites que Firefox pourrait éventuellement utiliser (même si ça ne serait pas très malin, car cela laisserait la porte ouverte aux attaques MITM, mais bon, c'est une hypothèse à vérifier quand même). Du coup un flush de Firefox (je sais pas comment, je n'utilise pas ce navigateur, mais doit bien y avoir moyen) pourrait résoudre le problème. Ou tester sur un autre poste depuis lequel tu n'es jamais allé sur ton site avec Firefox.

 

Sauf que je n'ai pas afficher le site auparavant.

 

Donc l'hypothèse de jpImbert et plausible.

Bizarre que le certificat de Gandi ne soit pas reconnu.


Mes applications iOS: VinoCell

#11 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 13:10

Etrangement, Safari iOS 7 ne reconnaît pas le certificat, et Safari iOS 8 le reconnaît !


Mes applications iOS: VinoCell

#12 AliGator

AliGator

    Mouleur de chocolats

  • Contrôleur d'arômes
  • 13 621 messages
  • LocationRennes (France)

Posté 19 septembre 2014 - 13:30

Ca voudrait donc dire que le certificat racine en question n'est pas dans les racines du système (Trousseau d'accès -> "Racines du système" sur Mac), accessibles du coup à priori par tous les logiciels qui voudraient vérifier la validité d'un certificat signé… mais qu'il serait dans une liste interne de certificats racines du navigateur ?

Il me semble en effet que pas mal de navigateurs intègrent eux-même des certificats racines dans leur bundle, même si ça fait du coup un peu doublon avec ceux intégrés au système pour la plupart…

Peut-être aussi que Firefox ne se base QUE sur sa liste interne de certificats racines et ne la complète pas du tout avec la liste des certificats racines du système, et manque de pot celui utilisé par Gandi est bien dans les racines de ton système mais pas dans Firefox ?!

C'est qui le Root CA de ton certificat, au fait ?
La Doc, c'est moi — Devise Shadok : S'il n'y a pas de solution, c'est qu'il n'y a pas de problème !
CocoaPods : Getting StartedLe Blog CocoaPodsCherchez des podsDocs de pods
Mon GitHub: OHHTTPStubs, SwiftGen…
Mon Blog: Crunchy Development

#13 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 14:00

C'est qui le Root CA de ton certificat, au fait ?

 

C'est à dire ?

 

Ce qui m'étonne, c'est que dans les détails du certificat sous Safari, il me dit:

 

Autorité de certification: NON

 

Mais bon, je vais demander à Gandi, ça sera sûrement plus simple.


Mes applications iOS: VinoCell

#14 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 14:07

Je pense qu'il doit y avoir un autre problème car Gandi certifie leur validité sur 99% des navigateurs dont Firefox.

 

Fichier joint  Capture d’écran 2014-09-19 à 15.06.06.png   16,35 Ko   0 téléchargement(s)

 

Je vais attendre un peu, pour voir si quelque chose doit être mis à jour dans une base quelconque...


Mes applications iOS: VinoCell

#15 AliGator

AliGator

    Mouleur de chocolats

  • Contrôleur d'arômes
  • 13 621 messages
  • LocationRennes (France)

Posté 19 septembre 2014 - 14:23

C'est à dire ?

Bah si tu regardes la chaîne de validation dudit certificat, ça remonte jusqu'à quel certificat racine ?

Par exemple le site developer.apple.com est signé par un certificat "deveoper.apple.com" qui lui-même est émis/signé par "VeriSign Class 3 Extended Validation SSL SGC CA" (autorité de certification) qui est enfin signé par "VeriSign Class 3 Public Primary Certification Authority - G5", qui lui est le certificat racine (d'ailleurs c'est indiqué par sa petite icône marron plutôt que bleue que c'est un "root certificate" celui-là).
Fichier joint  AppleSSLCert.png   169,58 Ko   0 téléchargement(s)

Et ce certificat "VeriSign Class 3 Public Primary Certification Authority - G5" est un certificat qui est enregistré dans les "racines du système", c'est à dire enregistré dans OSX dans la liste des certificats que l'OS lui-même truste, car c'est une autorité de certificat principale reconnue mondialement.

Pour ton certificat Gandi, quel est le certificat de la chaîne de certification qu'il ne reconnait pas ? Sans doute le certificat racine, que sous Firefox il ne connaît pas alors que Safari lui le connait et lui fait confiance ? Tu dois avoir un moyen avec Firefox de demander d'afficher le certificat — comme tu peux le faire avec Chrome ou Safari en cliquant sur le cadenas pour voir les détails de la connexion sécurisée et le certificat SSL utilisé.
La Doc, c'est moi — Devise Shadok : S'il n'y a pas de solution, c'est qu'il n'y a pas de problème !
CocoaPods : Getting StartedLe Blog CocoaPodsCherchez des podsDocs de pods
Mon GitHub: OHHTTPStubs, SwiftGen…
Mon Blog: Crunchy Development

#16 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 14:36

Voilà.

 

Fichier joint  post-1-0-13811700-1411133682.jpg   134,86 Ko   0 téléchargement(s)

 

Sur Firefox, je n'arrive pas à avoir les informations...


Mes applications iOS: VinoCell

#17 jpimbert

jpimbert

    Broyeur de fèves

  • Artisan chocolatier
  • PipPipPipPipPipPip
  • 1 244 messages
  • LocationToulon

Posté 19 septembre 2014 - 14:50

Bizarre car ce certificat racine est dans Firefox (Menu Firefox -> Préférences -> Avancé -> Certificats)

Tu peux tenter de l'exporter du trousseau pour le réimporter dans Firefox.



#18 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 19 septembre 2014 - 18:05

Bizarre car ce certificat racine est dans Firefox (Menu Firefox -> Préférences -> Avancé -> Certificats)

Tu peux tenter de l'exporter du trousseau pour le réimporter dans Firefox.

 

Oui, je vais essayer.

Merci !

 

(on m'a signalé que y'avait pas de problème sur PC sur IE)


Mes applications iOS: VinoCell

#19 FKDEV

FKDEV

    Broyeur de fèves

  • Artisan chocolatier
  • PipPipPipPipPipPip
  • 1 660 messages

Posté 20 septembre 2014 - 09:09

Tu fais une redirection de site.com vers www.site.com ?

T'es certain que ton certificat peut gérer les deux ?



#20 muqaddar

muqaddar

    Mouleur de chocolats

  • Maître Chocolatier
  • 10 888 messages

Posté 20 septembre 2014 - 12:35

Tu fais une redirection de site.com vers www.site.com ?

T'es certain que ton certificat peut gérer les deux ?

 

Oui, les 2 marchent sur les navigateurs où ça ne pose pas problème.

Il faut demander le certificat pour site.com si on veut que ça marche aussi pour www.site.com.

Par contre, ça ne marche pas pour toto.site.com, il faut une wilcard pour ça.

 

Bizarre le coup de iOS 7 (pas reconnu) et iOS 8 (reconnu)...


Mes applications iOS: VinoCell




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)