Aller au contenu

Certificat du pair révoqué dans Firefox uniquement (StartSSL)


Messages recommandés

Salut à tous,

en me basant sur différents tutos, j'ai certifié mon domaine xxxx.be via StartSSL la semaine passée, et tout allait bien jusqu'à hier. Plus d'alertes "connexion non sécurisée", un beau cadenas vert certifié StartCom et tout le toutim. (juste une alerte en locale 192.168 que j'ai mis en exception permanente)

Cependant, depuis hier soir, j'ai sur Firefox un refus de connexion : "Une erreur est survenue pendant une connexion à xxxx.be:port. Le certificat du pair a été révoqué. Code d’erreur : SEC_ERROR_REVOKED_CERTIFICATE" Par contre via Edge je me connecte sans soucis et sans erreur

J'ai donc parcouru la toile et tenté divers solutions : vérifier l'heure de mon PC, vider le cache, décocher "interroger le répondeur OCSP" (Options > Avancé > Certificat), désinstaller avec Revo Uninstaller Firefox, etc... Sans succès... Puis, je suis tombé sur un post qui abordait les certificats StartSSL et le fait qu'il ne fallait pas se tromper car sinon il fallait payer pour révoquer les certificats erronés.

Ca m'a fait penser que j'avais du recommencer la semaine passée mon certificat StartSSL qui initialement ne comprenait pas mon sous domaine nas.xxxx.be et générait une erreur. Bref j'avais recommencé en incluant le sous-domaine nas.xxxxx.be, ça avait fonctionné et j'avais vaguement tenté de révoquer le premier certificat, mais comme ils attendaient un paiement et qu'en plus ça fonctionnait avec le 2ème certif je n'ai pas été plus loin et il est resté vaguement "revoked en attente de paiement" (jusqu'à ce que je le remette en "issued" hier soir), sans effet...

Pour couronner le tout, en rédigeant ce post, et en constatant que les certificats ont des numéros d'ordre, je me demande si je n'ai pas été grandiose et que je n'ai pas révoqué le deuxième certificat (le bon) la semaine passée. Comme vous le verrez dans le printscreen, je l'ai réactivé mais finalement je me suis bien emmêlé les pinceaux et je voulais savoir si le type d'erreur que j'ai dans Firefox pouvait être lié à ça, et voir aussi si il y avait une possibilité de remettre de l'ordre dans tout ça... Parce que par exemple je n'ai pas certifié non plus le sous-domaine mail.xxxx.be (ce qui m'a embêté) et je parie qu'il me faudra de temps en temps ajouter un sous-domaine supplémentaire au fur et à mesure de mes avancées...

Qu'en pensez vous et avez vous une solution? Merci !

2017-01-31_144620.jpg

PS : Y a-t-il un moyen d'éviter les erreurs de certificats en local 192.168?

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

C'est tout simplement parce que StartCOM (donc StarSSL) n'est plus reconnu comme entité de certification par Firefox depuis la toute dernière version (51). Tous les certificats récents ne sont plus acceptés. C'était déjà le cas sur les autres navigateurs (Apple, Google, autres). Je crois qu'il ne reste plus que IE et Edge (à vérifier car je n'ai ni l'unni l'autre).

J'avais moi aussi renouvelé mon certificat début novembre (j'avais même fait un tuto pour aider au renouvellement), et j'ai du en changer. Je suis passé à Let's Encrypt qui est proposé en installation sur nos NAS à partir de DSM6.0. C'est simple et rapide.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour l'info :biggrin:. En effet je viens de réinstaller la version 50 et ça fonctionne, mais le temps de décocher la MAJ auto de Firefox (qq secondes) il était déjà repassé en v51 et j'ai du recommencer, mais bref ça refonctionne.

Pensez vous que cette décision de sécurité de Mozilla est justifiée et y-a-il moyen de de forcer Firefox a accepter les certificats StartSSL (au moins pour mon site) en, par ex, forçant l'importation des certificats ???

Sinon quel est le meilleur moyen de gérer mon problème actuel de double certificats StartSSL et de probable futur besoin de nouveau certificat pour de nouveau sous-domaines ? et via le 192.168 ?

Je crois que DSM 6 permet de gérer plusieurs certificats mais pas DSM 5.2 (dois je migrer vers le DSM 6?)

Merci à tous ceux qui éclaireront un peu le monde obscur des certificats :-)

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

Je viens tout juste de migrer à DSM6 la semaine dernière justement à cause du certificat et pour d'autres raisons. Ca s'est passé sans soucis.

Le problème de StartSSL c'est qu'il est question de mettre ne place une mesure provisoire mais seulement dans .... 3 mois. Autant dire qu'on aura eu le temps d'ici là de tuer un âne à coups de trique. L'autre problème, plus grave, c'est que ce bannissement peut durer très longtemps et qu'il est donc inutile de conserver un certificat qui n'est plus reconnu par la plupart des navigateurs.

Avec DSM6, vous pouvez bien entendu gérer plusieurs certificats (mais je n'en vois pas l'intérêt), mais le plus important c'est de pouvoir mettre en place un certificat Let's Encrypt en seulement quelques clics. Il faut seulement que le port 80 soit redirigé vers le NAS.

Lien vers le commentaire
Partager sur d’autres sites

StartCom et WoSign ont joué aux cons, ils ont perdu, bien fait (dommage pour les clients).

Dans ton cas, si le certificat ne sers qu'à toi, tu peux créer ta propre autorité et mettre ce que tu veux dedans (y compris 192.168.xxx.xxx), Ça se fait en quelques minutes (le plus long c'est de créer l'autorité, après créer les certificats c'est 10sec). Il te suiffera d'installer cette autorité dans tes navigateurs.

C'est ce que je fais pour une partie de mes ressources (j'ai mon autorité pour tout ce qui est privé ou ne nécessite pas un certificat reconnu et letsencrypt pour le reste).

Vivement que DANE soit reconnu dans les navigateurs (surtout maintenant que Google est devenu CA)

Lien vers le commentaire
Partager sur d’autres sites

En fait j'avais depuis un temps certain un certificat auto-signé mais cela donnait des avertissements à la famille qui accède à Photostation, mais étant donné leur niveau informatique je ne voulais pas leur donner de mauvaise habitude sur les exceptions de sécurité.

Bref je suis passé depuis lors en DSM 6 (mais je n'ai pas eu le temps de chipoter dedans) et je vais un peu checker me renseigner sur letsencrypt.

En 2 mots, qu'a fait StartSSL en jouant aux cons et quelles sont les conséquences sur la sécurité ? Est-ce définitif à votre avis?

Et c'est quoi DANE ???

Merci !!!

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

il y a 38 minutes, quenbo a dit :

je ne voulais pas leur donner de mauvaise habitude sur les exceptions de sécurité

Tu as raison

il y a 38 minutes, quenbo a dit :

En 2 mots, qu'a fait StartSSL en jouant aux cons et quelles sont les conséquences sur la sécurité ? Est-ce définitif à votre avis?

Ils ont antidaté certaines de leurs autorités de certification pour faire croire qu'ils avaient encore le droit de créer des certificats en SHA1 et ils ont refusé de se faire auditer par un cabinet d'expert afin de vérifier qu'ils respectaient les bien les standards en matière de sécurité.

Une partie importante de l'économie mondiale repose sur la confiance dans les CA, il est tout à fait normal de banir les entreprises qui ne sont pas sérieuses.

Ça ne devrait pas être définitif, mais s'ils l'ont fait une fois (il ne s'agissait pas d'une erreur technique ou d'un bug), rien ne dit qu'ils ne recommenceront pas (ni qu'ils n'ont pas d'autres mauvaises pratiques) => pour moi : BLACKLIST définitive

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.