Forum debian-fr.org

Rechercher:

* Connexion   * M’enregistrer

* FAQ    * Rechercher





Poster un nouveau sujet Répondre au sujet  [ 22 messages ] 
Auteur Message
MessagePosté: 01 Nov 2008 15:36 
Hors ligne
Nouvel utilisateur
Avatar de l’utilisateur

Inscription: 17 Sep 2005 12:08
Messages: 94
Localisation: N10°41'2 W061°41'2
Bonjour,

Voici le message que j'ai de temps en temps lorsque j'essaie de d'afficher un ancien fil du forum récupéré via Debian/Google en utilisant IceWeasel :

    Échec de la connexion sécurisée

    forum.debian-fr.org utilise un certificat de sécurité invalide.

    Le certificat n'est pas sûr car il est auto-signé.
    Le certificat n'est valide que pour *.zehome.com.

    (Code d'erreur : sec_error_untrusted_issuer)


Voilà, tout est dit !


Haut
 Profil  
 
MessagePosté: 01 Nov 2008 16:31 
Hors ligne
Très bavard(e)!
Avatar de l’utilisateur

Inscription: 25 Oct 2007 14:42
Messages: 659
C'est un certificat auto signé, il faut faire une exception si tu approuves le site.
Pour ne pas avoir ce message il faut acheter un vrai certificat chez verisign ou autre.

_________________
Hébergement web - Infogérance


Haut
 Profil  
 
MessagePosté: 01 Nov 2008 16:44 
Hors ligne
Contributeur
Avatar de l’utilisateur

Inscription: 18 Juil 2007 16:57
Messages: 8380
Localisation: Grenoble
Et il faut surtout que le certificat fonctionne pour plusieurs nom de domaine.

_________________
Je suis Pitta, cartésien, irritable, irritant et névrosé (de plus je fais de l'entrisme pour zsh), si l'un de mes messages vous insupporte essayez d'y voir de l'ironie ou de ne pas en tenir compte. Bonne journée et gardez le sourire. :)


Haut
 Profil  
 
MessagePosté: 02 Nov 2008 01:14 
Hors ligne
Nouvel utilisateur
Avatar de l’utilisateur

Inscription: 17 Sep 2005 12:08
Messages: 94
Localisation: N10°41'2 W061°41'2
Dans ce cas on va faire une exeption.

Je me doute qu'il n'y a pas de problème de redirection.

Je me demandais simplement si c'était normal. No problemo et merci pour ces éclaircissements.

Kenavo


Haut
 Profil  
 
MessagePosté: 11 Nov 2008 19:02 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 13 Mar 2007 10:27
Messages: 1291
Ce qui n'est pas normal c'est que mozilla (depuis firefox 3) ait décidé de mettre une page d'erreur, en bloquant à priori l'accès au site dés qu'on se trouve sur un https avec certificat non conforme aux "entités de confiance". De plus la procédure du type "je clic je clic je clic "êtes vous sur?" je clic "êtes vous certain?"" pour autoriser un certificat autosigné est vraiment lourde et gonflante.

Ça se désactive? dans about:config pitêtre?

Un peu de lecture, en Anglais, sympathique sur le sujet :)
about-free-software-ui-and-bad-excuses
firefox3-and-ssl

_________________
Signature.


Haut
 Profil  
 
MessagePosté: 11 Nov 2008 19:50 
Hors ligne
Nouvel utilisateur
Avatar de l’utilisateur

Inscription: 17 Sep 2005 12:08
Messages: 94
Localisation: N10°41'2 W061°41'2
Je ne sais pas si c'est normal où si ça va dans le sens de la sécurité : phishing et autres.

Toujours est-il que je préfère demander plutôt que d'accorder une autorisation permanente sans vérification.

Je me demande d'ailleurs vers où va l'internet d'antant !


Haut
 Profil  
 
MessagePosté: 11 Nov 2008 22:01 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 17 Fév 2006 11:20
Messages: 17311
Localisation: Ile de France
L'anormal est qu'il n'y ait pas un service publique de certification permettant d'avoir sa clef et des certificats authentifiés par l'état.

_________________
Debian Wheezy/Sid amd64 Linux version 3.5.2--aufs, Toshiba A500D Carte NVIDIA ou Toshiba Portege carte Intel, XFCE avec compiz (ben si...) et rox
2 mains de 5 doigts chacune, une tête plus options usuelles. Projets:
ClefAgreg et clef ISN


Haut
 Profil  
 
MessagePosté: 12 Nov 2008 09:12 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2006 08:28
Messages: 5798
Localisation: Lyon
Histoire d'engraisser cette grosse cochonne d'Edvige ?

_________________
C'est très difficile d'accepter qu'un raisonnement intelligent soit contraire à ses idées ... J'en suis d’ailleurs incapable.


Haut
 Profil  
 
MessagePosté: 12 Nov 2008 09:47 
Hors ligne
Contributeur
Avatar de l’utilisateur

Inscription: 18 Juil 2007 16:57
Messages: 8380
Localisation: Grenoble
ziouplaboum a écrit:
Ça se désactive? dans about:config pitêtre?

A la compilation

_________________
Je suis Pitta, cartésien, irritable, irritant et névrosé (de plus je fais de l'entrisme pour zsh), si l'un de mes messages vous insupporte essayez d'y voir de l'ironie ou de ne pas en tenir compte. Bonne journée et gardez le sourire. :)


Haut
 Profil  
 
MessagePosté: 13 Nov 2008 06:02 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 13 Mar 2007 10:27
Messages: 1291
Aboulafia a écrit:
Je ne sais pas si c'est normal où si ça va dans le sens de la sécurité : phishing et autres.

Toujours est-il que je préfère demander plutôt que d'accorder une autorisation permanente sans vérification.


Tu parles de pishing. Tu penses à un utilisateur qui ne sait pas trés bien ce qu'est un certificat (signé par une entité de confiance ou autosigné par joe lafritte ou un vilain Mr qui veut lui piquer son identifiant de connexion à sa banque).

Concrètement, ce que firefox propose actuellement c'est:

* le certificat est de confiance (cacert etc...), OK, je mets un petit cadenas fermé et on mets en sur-brillance l'URL, l'utilisateur se sent en confiance.

* le certificat est auto signé, OK, j'aboie (la page en question est semblable à une page d'erreur type 401...) à la figure de l'utilisateur qu'il risque sa vie, et s'il veut malgré tout aller sur le site en question il va lui falloir 5 clics et une bonne dose de patience pour y aller.

* Si l'utilisateur a choisit de considérer ce certificat auto signé comme étant de confiance (de son point de vue), alors l'interface graphique affichera le petit cadenas et la surbrillance comme si c'était un certificat certifié par cacert ou autre.

Pourquoi aboyer à la figure de l'utilisateur? Il est sourd? Il est bête? Il faut à tout prix qu'il sache ce qu'est un certificat et en quoi un certificat auto-signé est éventuellement peut-être parfois un signe de tentative de pishing? Franchement c'est un peu exagéré...

Il vaudrait mieux:

* Traiter les certificats de confiance comme actuellement (cadenas fermé et tout et tout)
* Lorsqu'un auto-signé se présente pour la première fois, avertir l'utilisateur que c'est https mais c'est pas pour autant que c'est secure (pas en lui gueulant dessus...) auquel cas:
--> l'utilisateur sait ce qu'il fait, (c'est son webmail personnel qu'il a pris deux jours à configurer sur sa bécane à la maison, c'est un serveur de son taf ou de l'aful/april qui n'a pas les moyens ou le besoin de se payer un certificat..) Dans ce cas il choisit de considérer le certificat comme de confiance pour moi utilisateur et dans l'interface graphique, les certificats de confiance pour moi utilisateur sont traités différemment des certificats certifiés (pas le même cadenas, un cadenas pas vraiment fermé, autre chose, bref un troisième icone différent de cadenas ouvert (http) et cadenas fermé (https avec certification))
--> l'utilisateur ne sais pas trop sur quel site il est tombé il lâche l'affaire et va ailleurs.

Si un certificat auto-signé choisi comme de confiance par l'user est modifié, firefox prévient l'user de ce fait...

Avec un système comme ça tout le monde est content. C'est de ce que j'ai compris ce que propose madism.org, développeur Debian au demeurant.

[EDIT] Remplacer CaCert par Thawte, Verisign etc... dans la mesure où le certificat racine de cacert n'est pas par défaut reconnu par ff. Un commentaire intéressant sur la question:

http://linuxfr.org/2008/11/12/24673.html
Citation:
Citation:
On pourrait aussi retourner le problème en disant qu'une certification CAcert n'a pas grande valeur face à un "vrai" certificat Thawte ou autre autorité de certification payante.


Je suis curieux de savoir ce que tu entends par « vrai certificat ». Les certificats émis par CACert.org sont de vrais certificats, conformes au standard X.509 et générés par OpenSSL comme, certainement, ceux de la plupart des acteurs commerciaux qui s'octroient de généreuses rentes en vendant cher des documents électroniques périssables dont la production ne coûte que l'hébergement sécurisé d'une poignée de serveurs.

Bon, il est vrai que certaines personnes sont fières de voir leur identité certifiée par un nom prestigieux tel que « Thawte », « VeriSign » ou « Visa ». Chacun met sa fierté là où il peut. Personnellement, j'ai plus confiance en une entité désintéressée mais dont les vérifications n'en sont pas moins très pointilleuses si j'en crois mon expérience personnelle.

_________________
Signature.


Haut
 Profil  
 
MessagePosté: 15 Nov 2008 20:42 
Hors ligne
Administrateur du forum
Avatar de l’utilisateur

Inscription: 28 Fév 2003 10:48
Messages: 1804
Localisation: Toulouse
entièrement d'accord, mais les pti gars de firefox sont un peu ... nuls ? :-)

_________________
Laurent « ed » COUSTET


Haut
 Profil  
 
MessagePosté: 16 Nov 2008 18:15 
Hors ligne
Fan des forums debian-fr.org!
Avatar de l’utilisateur

Inscription: 20 Juin 2004 19:23
Messages: 4665
Localisation: Paris
ed a écrit:
entièrement d'accord, mais les pti gars de firefox sont un peu ... nuls ? :-)

un peu seulement?? :arrow:

_________________
Ashgenesis (https://pikacode.com)


Haut
 Profil  
 
MessagePosté: 16 Nov 2008 18:54 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 13 Mar 2007 10:27
Messages: 1291
ed a écrit:
entièrement d'accord, mais les pti gars de firefox sont un peu ... nuls ? :-)


Non, ils essaient d'être pédagogue, et ça c'est dangereux! :-)

_________________
Signature.


Haut
 Profil  
 
MessagePosté: 08 Sep 2010 09:19 
Hors ligne
Grand posteur

Inscription: 21 Aoû 2008 22:16
Messages: 125
J'ai également ce problème avec iceweasel et opera, et avec chromium il me faut attendre 30 sec pour que la page s'affiche. :017

_________________
debian stable version 6.0.4
carte graphique nVidia Corporation NV34 [GeForce FX 5200]
Intel(R) Pentium(R) 4 CPU 2.40GHz
cache size: 512 KB


Haut
 Profil  
 
MessagePosté: 09 Sep 2010 12:31 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 28 Juil 2008 13:57
Messages: 1937
Localisation: Seine et Marne
Vous dites ça parce que vous avez pas un système qui hurle dès qu'on clique sur une icône... :016

_________________
La propriété intellectuelle n'a d'intérêt que lorsqu'elle porte mal son nom.


Haut
 Profil  
 
MessagePosté: 09 Sep 2010 12:37 
Hors ligne
Dieu du clavier.
Avatar de l’utilisateur

Inscription: 13 Mar 2009 07:30
Messages: 12629
Localisation: Madagascar - Isalo
Fichier(s) joint(s):
Capture8.jpeg
Capture8.jpeg [ 24 Kio | Vu 864 fois ]


On va tous mourir... :mrgreen:

_________________
GO Compréhensif...
SID 3.x-etc...-amd64 && Xfce 4.x
Je fais des sites maintenant! / Service d'hébergement d'images
Visitez et Participez au wiki du forum!


Haut
 Profil  
 
MessagePosté: 10 Sep 2010 23:29 
Hors ligne
Administrateur du forum
Avatar de l’utilisateur

Inscription: 28 Fév 2003 10:48
Messages: 1804
Localisation: Toulouse
oué faut que je fasse quelque chose ça m'énerve cette tete de mort ;)

_________________
Laurent « ed » COUSTET


Haut
 Profil  
 
MessagePosté: 11 Sep 2010 04:58 
Hors ligne
Dieu du clavier.
Avatar de l’utilisateur

Inscription: 13 Mar 2009 07:30
Messages: 12629
Localisation: Madagascar - Isalo
ed a écrit:
oué faut que je fasse quelque chose ça m'énerve cette tete de mort ;)


Oui, c'est énervant, mais c'est encore plus énervant de devoir payer pour l'enlever...

C'est du chantage/racket cette histoire de certificat :twisted:

_________________
GO Compréhensif...
SID 3.x-etc...-amd64 && Xfce 4.x
Je fais des sites maintenant! / Service d'hébergement d'images
Visitez et Participez au wiki du forum!


Haut
 Profil  
 
MessagePosté: 11 Sep 2010 09:25 
Hors ligne
Contributeur
Avatar de l’utilisateur

Inscription: 18 Juil 2007 16:57
Messages: 8380
Localisation: Grenoble
lol a écrit:
ed a écrit:
oué faut que je fasse quelque chose ça m'énerve cette tete de mort ;)


Oui, c'est énervant, mais c'est encore plus énervant de devoir payer pour l'enlever...

C'est du chantage/racket cette histoire de certificat :twisted:

Non t'es pas obligé maintenant il y a des organismes reconnu qui font ça gratuitement.

_________________
Je suis Pitta, cartésien, irritable, irritant et névrosé (de plus je fais de l'entrisme pour zsh), si l'un de mes messages vous insupporte essayez d'y voir de l'ironie ou de ne pas en tenir compte. Bonne journée et gardez le sourire. :)


Haut
 Profil  
 
MessagePosté: 11 Sep 2010 09:29 
Hors ligne
Dieu du clavier.
Avatar de l’utilisateur

Inscription: 13 Mar 2009 07:30
Messages: 12629
Localisation: Madagascar - Isalo
MisterFreez a écrit:
...
Non t'es pas obligé maintenant il y a des organismes reconnu qui font ça gratuitement.


C'est cool!
Un lien ?

_________________
GO Compréhensif...
SID 3.x-etc...-amd64 && Xfce 4.x
Je fais des sites maintenant! / Service d'hébergement d'images
Visitez et Participez au wiki du forum!


Haut
 Profil  
 
MessagePosté: 11 Sep 2010 09:41 
Hors ligne
Contributeur
Avatar de l’utilisateur

Inscription: 18 Juil 2007 16:57
Messages: 8380
Localisation: Grenoble
http://www.geckozone.org/articles/2009/ ... uto-signes
Partie "Vérification de domaine".

_________________
Je suis Pitta, cartésien, irritable, irritant et névrosé (de plus je fais de l'entrisme pour zsh), si l'un de mes messages vous insupporte essayez d'y voir de l'ironie ou de ne pas en tenir compte. Bonne journée et gardez le sourire. :)


Haut
 Profil  
 
MessagePosté: 11 Sep 2010 11:46 
Hors ligne
Administrateur du forum
Avatar de l’utilisateur

Inscription: 28 Fév 2003 10:48
Messages: 1804
Localisation: Toulouse
J'ai acheté un certificat. Mise en place au plus tot.

_________________
Laurent « ed » COUSTET


Haut
 Profil  
 
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 22 messages ] 

Index du forum » debian-fr.org, le site » Forum interne


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Aller à:  
Flux RSS Flux RSS Liste des flux Liste des flux
Powered by phpBB® Forum Software © phpBB Group
Traduction par: phpBB-fr.com
SEO
[ Time : 0.595s | 15 Queries | GZIP : Off ]