CONNEXION: message de sécurité

Bonjour,

Curieusement, en passant par la rubrique «Forum interne» le problème que je vous soumets ne se pose pas… :017

Depuis quelques jours, lorsque j’essaie de me connecter sur la page d’accueil du forum, j’obtiens un écran d’alerte avec le message:

J’ai déja signalé sur ce forum, le même phénomène lors de ma connexion au wiki.

Maintenant, le 1er paragraphe de ce message vous indique ma grande perplexité !

Je butine ( ou je navigue ? )principalement avec chromium:

6.0.472.63 (59945) Built on Debian 6.0.2, running on Debian 6.0.10
ai-je quelque-chose à faire ?

merci pour votre attention. [size=85]( jeu de mot involontaire ![/size])

On est tous dans ce cas, le certif est périmé.
Apparemment, il n’y a pas de problèmes majeurs qui se soient présentés.
C’est une affaire en cours qui va se décanter, il faut patienter, je m’en occupe.
:006

Oui oui oui…car pour certains navigateurs le site n’est pas digne de confiance… :119 :119 :119 et je prends un risque à poursuivre quand même vers debian-fr.org. :108

y aurai pas un moyen d’éviter que tous les 2 jours quelqu’un poste sur ce sujet ?

Si, en supprimant les prochains … mais ne vais-je pas entendre, une fois de plus, que je suis un affreux censeur :unamused:

Sauf si on a retardé son horloge de quelques jours.

Non. La date d’expiration d’un certificat est arbitraire dans la plupart des cas.

À ce sujet, Pascal, quel est le réel danger de naviguer sur un site tel que le nôtre, s’il n’est pas protégé par un certif, en http sans ‘s’ :question:

C’est pas parce que le certificat est périmé que les données ne sont plus chiffrées ou mal

C’est qu’une histoire de sous finalement…

Interception voire altération des communications avec le site, notamment : identifiant, mot de passe, messges privés…

Le but du certificat n’est pas tant le chiffrement que l’authentification du site. Si on peut pas authentifier de façon fiable avec qui on communique, le chiffrement perd beaucoup de son intérêt.

Pour ceux qui doutent, vous pouvez vérifier l’authenticité du certificat en comparant les empreintes numériques SHA1 et MD5
Ce certificat, bien qu’ayant expiré, nous l’avons tous encore, et il avait été certifié par l’autorité de certification [mono]GeoTrust, Inc[/mono].
En attendant, voici une capture d’écran des détails de ce certificat :

À l’avenir, je me demande s’il ne serait pas plus économique d’utiliser une signature GPG qui serait vérifiable avec les serveurs de clef, et qui serait intégrée dans le nouveau certificat auto-signé par l’autorité debian-fr.

Le serveur de clef GPG permettrait alors à chacun de vérifier le résumé de la signature GPG intégrée dans le certificat, et donc sa validité.

[quote=“MicP”]Pour ceux qui doutent, vous pouvez vérifier l’authenticité du certificat en comparant les empreintes numériques SHA1 et MD5
Ce certificat, bien qu’ayant expiré, nous l’avons tous encore, et il avait été certifié par l’autorité de certification.
En attendant, voici une capture d’écran des détails de ce certificat :

À l’avenir, je me demande s’il ne serait pas plus économique d’utiliser une signature GPG qui serait vérifiable avec les serveurs de clef, et qui serait intégrée dans le nouveau certificat auto-signé par l’autorité debian-fr.

Le serveur de clef GPG permettrait alors à chacun pour vérifier le résumé de la signature GPG intégrée dans le certificat, et donc sa validité.[/quote]
Il faudrait que tu développes le processus à suivre pour ce faire car tout le monde ne comprend pas comment faire.

Un passage en coup de vent, juste pour dire que je repasserai plus tard préciser deux points qui me paraissent important :
_pourquoi il faut essayer de régler cette histoire au plus vite ;
_pourquoi la suggestion de MicP me paraît une excellente idée.

Pour visualiser le certificat actuel du serveur : [mono]h­ttps://w­ww.debian-fr.org[/mono]

[mono]iceweasel[/mono] -> [mono]Édition[/mono] -> [mono]Préférence[/mono] -> [mono]Avancé[/mono] -> Onglet [mono]Certificats[/mono] -> Bouton [mono]Afficher les certificats[/mono] -> Onglet [mono]Serveurs[/mono]

-> [mono]GeoTrust, Inc[/mono] -> [mono]www.debian-fr.org[/mono] -> Onglet [mono]Détails[/mono] -> [mono]Numéro de série[/mono]

=====
La seule chose qui différencie un certificat auto-signé d’un certificat authentifié par une Autorité de Certification ([mono]CA[/mono]), est l’authentification du signataire de ce certificat.

[mono]GPG[/mono] pourrait très bien, avec ses serveurs de clefs, être utilisé pour l’authentification du signataire qui aura créé le certificat auto-signé du serveur [mono]h­ttps://w­ww.debian-fr.org[/mono].

=====
[mono]GPG[/mono] Gnu Privacy Guard

[mono]CA[/mono] Certificate Authority <=> [mono]Autorité de Certification[/mono]

[mono]TLS[/mono] Transport Layer Security

Il existe des autorités de certification gratuites par exemple semble-t-il
cert.startcom.org/?lang=fr
je vais voir comment ça marche

Ceux avec l’URL en vert : :023

Avec un certificat gratuit fournit par StartCom, il faudrait être sûr qu’en cas de problème du genre de ce qui s’est passé dernièrement avec Heartbleed, il ne faudra pas payer 25$ pour la révocation du certificat.

Il y a peut-être aussi cacert.org/, mais, il y a 5 ans, il nous (admin du site web, formateurs réseau et moi-même) avait été impossible de faire accepter le certificat par un certain navigateur. Il faudrait voir si ça a pas changé depuis…

[quote=“MicP”]Avec un certificat gratuit fournit par StartCom, il faudrait être sûr qu’en cas de problème du genre de ce qui s’est passé dernièrement avec Heartbleed, il ne faudra pas payer 25$ pour la révocation du certificat.

Il y a peut-être aussi cacert.org/, mais, il y a 5 ans, il nous (admin du site web, formateurs réseau et moi-même) avait été impossible de faire accepter le certificat par un certain navigateur. Il faudrait voir si ça a pas changé depuis…[/quote]

Je confirme tout.
Le gros désavantage de startcom est le prix de la révocation.
Cacert a disparu du paquet ca-certificates, et du coup n’est plus reconnu par défaut, c’est très embêtant ( et ça a fait du bruit ).

Oui, je sais, je me suis gourré en faisant le certificat et je me retrouve avec un truc inutilisable [edit: en fait si, tout va bien]

Mais 25$ exceptionnels versus 100$ tous les ans, il n’y a pas photo non?

Le message de certificat périmé donne l’impression qu’il n’y a personne pour le renouveler, et par conséquent personne pour le révoquer en cas de compromission. Ça diminue quand même fortement la confiance qu’on peut y accorder…

Las autorités de certifications sont un plus pour qui leur fait vraiment confiance, mais techniquement le certificat qu’elles délivrent n’apporte rien par rapport à un auto-signé. L’avantage certain du certificat auto-signé est qu’on est assurés que sa révocation sera gratuite en cas de compromission.

[quote=“fran.b”]Oui, je sais, je me suis gourré en faisant le certificat et je me retrouve avec un truc inutilisable [edit: en fait si, tout va bien]

Mais 25$ exceptionnels versus 100$ tous les ans, il n’y a pas photo non?[/quote]
C’est aussi mon avis.