Où achetez vous vos certificats serveur ?
- merlin2000fr
- Messages : 2140
- Inscription : ven. 12 janv. 2018 17:44
Où achetez vous vos certificats serveur ?
chez nous (boite de hosting entre autres choses) on passe par différents fournisseurs suivant les volumes et ou les accords commerciaux que l'on a ou pas
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
la racine c'est commodoLe certificat de Gandi doit pas être signé par eux-même je viens de regarder et apparemment l'intermédiaire et le racine sont en sha-384
les intermédiaires sont en SHA384, mais la racine est en SHA1
allez sur le site de gandi en https, et regardez la racine vous verrez
Où achetez vous vos certificats serveur ?
heu au taf il me dit
TLS 1.0
AES256CBC
SHA1 et RSA
mais bon, je passe par un FW/Proxy pas gentil du taf
TLS 1.0
AES256CBC
SHA1 et RSA
mais bon, je passe par un FW/Proxy pas gentil du taf
Où achetez vous vos certificats serveur ?
a la maison, c'est en SHA256 avec avast
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
Z, il t'en manque 1, t'es pas sur la racine, t'es sur un intermédiaire
un des intermédiaire doit être dans les certif racine de confiance sur ta machine.
a gauche la chaine que j'ai (a priori normale d'après SSLLabs et digicert) et a droite, le detail du "USERTrust"
un des intermédiaire doit être dans les certif racine de confiance sur ta machine.
a gauche la chaine que j'ai (a priori normale d'après SSLLabs et digicert) et a droite, le detail du "USERTrust"
Où achetez vous vos certificats serveur ?
Comment je fais pour le voir sous chrome ?
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
mouarf, reponse de gandi:
c'est 01/01/2016 que crosoft et Google (donc +50% des navigateurs) mettront en erreur tous les SHA1
pt'in, je sens que ça va être drôle.
21/12/2012, une blague a coté
Bonjour
Alors non afin d'avoir une compatibilité maximum avec le maximum de personne, le certificat racine (publié par Comodo, pas par Gandi) ne sera probablement pas mis à jour avant la date butoir du 01/01/2017
Cordialement
c'est 01/01/2016 que crosoft et Google (donc +50% des navigateurs) mettront en erreur tous les SHA1
pt'in, je sens que ça va être drôle.
21/12/2012, une blague a coté
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
je sais, j'ai aussi expliqué pourquoi tu ne le vois pas sur ta machine
regarde ma capture c'est ce que j'ai fais ! http://i.zcraft.fr/1613.png
un des intermédiaire doit être dans les certif racine de confiance sur ta machine.
Où achetez vous vos certificats serveur ?
et comment je sais lequel qu'il utilise ?je sais, j'ai aussi expliqué pourquoi tu ne le vois pas sur ta machine
un des intermédiaire doit être dans les certif racine de confiance sur ta machine.
la liste des certificats sous unix c'est le paquet ca_cert_nss ?
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
chrome a pas son propre magasin ?
sur debian c'est ca-certificates le paquet
sur debian c'est ca-certificates le paquet
Où achetez vous vos certificats serveur ?
si j'ai une fenêtre avec les autorités de certification, mais je sais pas lequel je dois regarderchrome a pas son propre magasin ?
sur debian c'est ca-certificates le paquet
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
regarde dans mon screen, ya la chaine entière
Où achetez vous vos certificats serveur ?
mais c'est obtenir l'arborescence complète sous chrome que j'aimerai bienregarde dans mon screen, ya la chaine entière
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
il s'arrête quand il trouve un certificat dans un des magasin de confiance.
du coup, tu verras jamais l'autre (sauf a supprimer l'intermédiaire dans le magasin)
du coup, tu verras jamais l'autre (sauf a supprimer l'intermédiaire dans le magasin)
Où achetez vous vos certificats serveur ?
quel con ce chromeil s'arrête quand il trouve un certificat dans un des magasin de confiance.
du coup, tu verras jamais l'autre (sauf a supprimer l'intermédiaire dans le magasin)
Où achetez vous vos certificats serveur ?
Non sur un Windows en tout cas il se base sur le magasin de certificats du système. C'est Firefox qui a son propre magasin de certifs.chrome a pas son propre magasin ?
Sinon sur ton problème : le support Gandi n'y peux absolument rien, y'a pas de problème à leur niveau !
D'après le test SSLlabs il y a deux "chemins" de validation :
https://www.ssllabs.com/ssltest/analyze ... Results=on
Path #1 que voit Z et moi pareil avec Firefox : le certif auto-signé COMODO RSA Certification Authority est dans le magasin de confiance du navigateur, signature en SHA-384 >>> tout est ok
Path #2 : on tombe sur une AC Comodo avec un certif émis par "AddTrust External CA Root" et c'est celui-ci qui est en SHA-1. Ce certif AddTrust est dans le magasin de certif de ton système.
Regardez les certifs historiques de toutes les grosses AC racine installés sur votre système, la grande majorité signe en SHA-1 ! DigiCert, Thawte, VeriSign, Globalsign, ...
Sur un Windows : Démarrer > Exécuter > certmgr.msc > Autorités de certification racine de confiance
Sur le Win7 du taff j'ai même un Microsoft Root Authority en MD5-RSA
- dsebire
- Messages : 12740
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Où achetez vous vos certificats serveur ?
pas du tout d'accord.Sinon sur ton problème : le support Gandi n'y peux absolument rien, y'a pas de problème à leur niveau !
ils revendent du comodo, a eux de s'assurer qu'il vendent un truc viable.
la CA gandi est validée par un truc moisi, c'est leur problème.
Où achetez vous vos certificats serveur ?
J'ai fouillé les annonces de Microsoft et Google au calme chez moi ce soir. Ca m'intéresse aussi pour le taff de savoir vers quoi on se dirige.
Chez MS c'est au 01/01/2017 que les signatures SHA-1 dans la chaîne de validation seront refusées. Au 1er janvier 2016 ce sont les certifs développeurs qui seront refusés (signature de code).
Du côté de Chrome c'est plus compliqué car cela dépend de la version du browser et de la date d'expiration du certif du site. Mais il ne bloquera pas la navigation : warning jaune / page blanche neutre / flag rouge dans la barre d'adresse selon les cas.
TBS a fait un bon récap' pour ses clients ici :
http://www.tbs-certificats.com/FAQ/fr/m ... _sha1.html
Mais surtout, cela concerne seulement les certifs finaux et les certifs des CA intermédiaires. Mais pas les certifs des CA racines.
Dans les billets de Google et MS j'ai lu :
***************
Pour finir un outil de test automatisé pour savoir si on est dans les clous :
https://shaaaaaaaaaaaaa.com/
Il signale gandi.net et digicert.com comme bons, pourtant dans les 2 cas on peut remonter jusqu'à un root CA avec un certif signé en SHA1.
Chez MS c'est au 01/01/2017 que les signatures SHA-1 dans la chaîne de validation seront refusées. Au 1er janvier 2016 ce sont les certifs développeurs qui seront refusés (signature de code).
Du côté de Chrome c'est plus compliqué car cela dépend de la version du browser et de la date d'expiration du certif du site. Mais il ne bloquera pas la navigation : warning jaune / page blanche neutre / flag rouge dans la barre d'adresse selon les cas.
TBS a fait un bon récap' pour ses clients ici :
http://www.tbs-certificats.com/FAQ/fr/m ... _sha1.html
Mais surtout, cela concerne seulement les certifs finaux et les certifs des CA intermédiaires. Mais pas les certifs des CA racines.
Dans les billets de Google et MS j'ai lu :
Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.
>>>> Donc si ton certif perso est signé SHA-256 et que celui de ton/tes CA intermédiaire(s) est signé SHA256/SHA384 alors tes clients/visiteurs n'auront pas d'alertes dans leur navigateur.3. Does this really only affect end-entitiy certificates and not root- and intermediate-certificates?
Answer: The policy affects intermediate and end-entity certificates - both intermediates and end-entity certs should transition to SHA2 before the deadlines. Root certs aren’t validated by the SHA1 signature so they are unaffected by this policy at this time.
***************
Pour finir un outil de test automatisé pour savoir si on est dans les clous :
https://shaaaaaaaaaaaaa.com/
Il signale gandi.net et digicert.com comme bons, pourtant dans les 2 cas on peut remonter jusqu'à un root CA avec un certif signé en SHA1.
Où achetez vous vos certificats serveur ?
Bah j'ai bien fait d'avoir fouillé là-dessus.
Au boulot on vient de recevoir des nouveaux certifs OV acheté à une petite structure mais émis par OpenTrust/Keynectis.
Bah bingo : ils nous ont fourni un certif signé en SHA-1.
Plus ils nous fournissent un certif de la CA intermédiaire en SHA-1 également alors que OpenTrust l'a rafraichi. Le même cert mais signé en SHA-256 est dispo sur leur site.
Mwaarghl ... >___
Au boulot on vient de recevoir des nouveaux certifs OV acheté à une petite structure mais émis par OpenTrust/Keynectis.
Bah bingo : ils nous ont fourni un certif signé en SHA-1.
Plus ils nous fournissent un certif de la CA intermédiaire en SHA-1 également alors que OpenTrust l'a rafraichi. Le même cert mais signé en SHA-256 est dispo sur leur site.
Mwaarghl ... >___
Où achetez vous vos certificats serveur ?
Le site public www.amendes.gouv.fr possède un certificat délivré par Entrust (américain ) à l'entité :
"Ministere de l'economie, des finances et de l'industrie"
... écrit exactement comme cela, sans les accents d'un Français correct, pcq bah ouais dans les formulaires de souscription du fournisseur US bah l'UTF-8 nan c'est pas bon tu vois.
"Ministere de l'economie, des finances et de l'industrie"
... écrit exactement comme cela, sans les accents d'un Français correct, pcq bah ouais dans les formulaires de souscription du fournisseur US bah l'UTF-8 nan c'est pas bon tu vois.