Soucis de certificat StartSSL (clé publique)

Un problème technique concernant l'utilisation d'un logiciel / CMS ou d'un service externe à FSH qui ne relève pas du support technique ? Vous pouvez vous entraider et échanger par l'intermédiaire de cette catégorie.
Avatar de l’utilisateur
Jhonkrugger
Messages : 233
Inscription : 3 janvier 2011 à 20:07

Je viens aux nouvelles suite à ma visite sur le chatIRC de FSH :)

J'ai contacté le support de StartSSL afin de leur expliqué le soucis de certificat sur les sites ayant un certificat chez eux, leur détaillant la notification du navigateur Google Chrome.

Je leur ai expliqué que le navigateur nous indique que la clé est obsolète, et je leur ai demandé la manipulation à faire pour obtenir un certificat totalement valide (icône verte grossièrement).

Je posterait leur réponse dès que j'en aurais une,

Bon week-end à toutes et à tous
Avatar de l’utilisateur
Jhonkrugger
Messages : 233
Inscription : 3 janvier 2011 à 20:07

Voici la réponse que je viens d'obtenir :

D'après ce que j'ai rapidement compris en survolant le message, il suffirait de mettre à jour le certificat de mon site, ainsi que le CA en SHA2.

Est-ce bien ça Elodie ?



>
> I have a second request, is-it normal that i have a notification of my internet browser (Google Chrome) about my certificate. It tell me that my certificate is obsolete.
> What can i do to upgrade the encrypt of my certificate ? i have try to create a new cert like *.######.fr with a new encryption more secured but the system tells me that i have already a cert with this name.
>

Please see ####### - the entire certificate chain is using SHA1 hashed certificates. Those should be updated to SHA2 and the CA root should be omitted entirely.

The new intermediate CA sub.class2.server.ca.pem is available at www.startssl.com/certs/
Avatar de l’utilisateur
Jhonkrugger
Messages : 233
Inscription : 3 janvier 2011 à 20:07

J'ai donc répondu :

Thanks,

How can i do the update for my website certificate ? Must i have to remove the actual certificate for *.#####.fr and recreate one with SHA2 ?

et obtenu ceci :

No, I suggest to simply use a different sub domain at the first position and add the wild card at the second one. For example use "www" as the first sub domain and then "*" also, the certificate will work exactly the same and doesn't require revocation of the former.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Ce qu'il faut comprendre en gros, c'est que Google par son navigateur Internet Google Chrome, veulent certifier des certificats eux même à l'aide d'une base interne à leur entreprise ... directement via leur propre navigateur Internet ... Ils disent qu'il y a un problème alors que ce n'est pas totalement le cas et surtout pas présentement.

D'ailleurs, la traduction française sur Google Chrome est fausse, en français ils parlent de "certificat de clef privé" alors qu'en version originale en anglais ils parlent de "public audit record" :

Image

Ce "public audit record" nous mène sur le site http://www.certificate-transparency.org/ qui est un projet de Google et qui permet d'auditer de manière drastique les certificats SSL via leur navigateur Internet Google Chrome.

La signature des certificats via SHA2 n'est actuellement qu'une recommandation sur des sites de qualité pour tester à fond un certificat SSL. Par exemple avec le service SSL Labs : https://www.ssllabs.com/ssltest/analyze ... nceserv.fr

Ils nous disent : "Certificate uses a weak signature. When renewing, ensure you upgrade to SHA2. MORE INFO »", en Français : lorsque vous renouvellerez votre certificat, assurez-vous d'utiliser SHA2 au lieu de SHA1.

Ce n'est qu'une recommandation "SHA1 Deprecation" : https://community.qualys.com/blogs/secu ... ed-to-know. De plus, de nombreux anciens navigateurs ne sont pas encore compatible SHA2 comme Windows XP SP2 par exemple ou beaucoup d'Android avant la version 2.3 et encore de nombreux internautes utilisent ces versions.
No, I suggest to simply use a different sub domain
A vérifier s'il ne faut pas repayer chez StartSSL, sinon je le ferai quand je renouvellerai mon certificat dans 1 an. Je vérifierai alors à ce moment là que je suis bien en SHA2.
[...] and the CA root should be omitted entirely.
Je l'ai fais pour mon certificat et par exemple je ne peux plus me connecter sur mon site à l'aide de mon vieux téléphone Nokia N95 avec Symbian car il ne possède pas le CA dans sa base et le fait que le CA n'est pas communiqué, il m'est impossible d'ignorer l'alerte et de visiter mon site. Je vais voir pour adapter mon robot pour les clients qui ne veulent pas préciser le CA mais c'est à double tranchant.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Jhonkrugger
Messages : 233
Inscription : 3 janvier 2011 à 20:07

Je vais également essayer de mon coté d'ici quelques temps,
Je posterais dans ce sujet si il y à du changement.

Bon week-end et merci :)
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour de nouveau,

J'ai améliorer la configuration SSL sur les FrontWEB IPv4 et IPv6 pour tous les hébergés en HTTPS.

Pour éviter le problème d'anchor, j'ai déplacé le CA root dans une autre directive de la configuration de NGinx et j'ai également appliqué une correction sur une éventuelle faille en désactivant le cipher RC4.

Le cipher RC4 vulnérable supprimé fait que les sites hébergés en SSL ne sont plus accessibles depuis IE 6 et 8 sur Windows XP (lui même vulnérable et plus du tout maintenu par Microsoft).

De mon coté, j'ai également mis à jour le certificat SSL de FranceServ Hébergement sur les FrontWEB en SHA2.

Au niveau https://www.ssllabs.com/ssltest/analyze ... nceserv.fr tout est bon, à part quelques Cipher mais c'est pas encore d'actualité. Par contre Google Chrome, bien que le cadenas ne soit plus "cassé", lorsque l'on clique pour en savoir plus, ils nous parlent toujours d'un problème de ""public audit record" mais ça c'est à eux de prendre en compte les modifications. De mon coté, tout est bon.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Jhonkrugger
Messages : 233
Inscription : 3 janvier 2011 à 20:07

Bonjour Elodie,

Impec' pour FSH tout est au vert ;-)
Que faire de notre coté ? Quelle manip' as-tu faite ? Suppression puis création d'un nouveau certificat *.domaine.com en SHA2 ?

Edit :
Je viens d'essayer avec mon domaine .com au cas où.

Si vous souhaitez vous-aussi mettre à jour votre certificat /!\ comme l'a rappelé Elodie, cela rendra certains navigateurs incompatibles.

Il suffit de faire comme l'a expliqué la personne du support de StartSSL a expliqué :
-> Ajout d'un nouveau certificat avec "www.domaine.com"
Puis d'ajouter à celui-ci dans la même manip' le *.domaine.com

J'écris cela au cas où certains utilisateurs souhaitent mettre à jour leurs certificats.

Edit #2 :
J'ai mis à jour mon domaine principal, tout est ok de mon coté !
Merci Elodie :)
Répondre