SMPFR

nos certificats viennent de chez https://www.tbs-internet.com/

jamais eu de souci

chez nous (boite de hosting entre autres choses) on passe par différents fournisseurs suivant les volumes et ou les accords commerciaux que l'on a ou pas

Le certificat de Gandi doit pas être signé par eux-même je viens de regarder et apparemment l'intermédiaire et le racine sont en sha-384

la racine c'est commodo
les intermédiaires sont en SHA384, mais la racine est en SHA1
allez sur le site de gandi en https, et regardez la racine vous verrez

La racine est en SHA384 non ? Ou alors je regarde au mauvais endroit

heu au taf il me dit
TLS 1.0
AES256CBC
SHA1 et RSA

mais bon, je passe par un FW/Proxy pas gentil du taf

a la maison, c'est en SHA256 avec avast

Z, il t'en manque 1, t'es pas sur la racine, t'es sur un intermédiaire
un des intermédiaire doit être dans les certif racine de confiance sur ta machine.

a gauche la chaine que j'ai (a priori normale d'après SSLLabs et digicert) et a droite, le detail du "USERTrust"

Comment je fais pour le voir sous chrome ?

tu clique sur le cadenas

tu clique sur le cadenas

regarde ma capture c'est ce que j'ai fais ! http://i.zcraft.fr/1613.png

mouarf, reponse de gandi:

Bonjour

Alors non afin d'avoir une compatibilité maximum avec le maximum de personne, le certificat racine (publié par Comodo, pas par Gandi) ne sera probablement pas mis à jour avant la date butoir du 01/01/2017

Cordialement

c'est 01/01/2016 que crosoft et Google (donc +50% des navigateurs) mettront en erreur tous les SHA1
pt'in, je sens que ça va être drôle.

21/12/2012, une blague a coté

regarde ma capture c'est ce que j'ai fais ! http://i.zcraft.fr/1613.png

je sais, j'ai aussi expliqué pourquoi tu ne le vois pas sur ta machine

un des intermédiaire doit être dans les certif racine de confiance sur ta machine.

je sais, j'ai aussi expliqué pourquoi tu ne le vois pas sur ta machine

un des intermédiaire doit être dans les certif racine de confiance sur ta machine.

et comment je sais lequel qu'il utilise ?
la liste des certificats sous unix c'est le paquet ca_cert_nss ?

chrome a pas son propre magasin ?
sur debian c'est ca-certificates le paquet

chrome a pas son propre magasin ?
sur debian c'est ca-certificates le paquet

si j'ai une fenêtre avec les autorités de certification, mais je sais pas lequel je dois regarder

regarde dans mon screen, ya la chaine entière

regarde dans mon screen, ya la chaine entière

mais c'est obtenir l'arborescence complète sous chrome que j'aimerai bien

il s'arrête quand il trouve un certificat dans un des magasin de confiance.
du coup, tu verras jamais l'autre (sauf a supprimer l'intermédiaire dans le magasin)

il s'arrête quand il trouve un certificat dans un des magasin de confiance.
du coup, tu verras jamais l'autre (sauf a supprimer l'intermédiaire dans le magasin)

quel con ce chrome

chrome a pas son propre magasin ?

Non sur un Windows en tout cas il se base sur le magasin de certificats du système. C'est Firefox qui a son propre magasin de certifs.

Sinon sur ton problème : le support Gandi n'y peux absolument rien, y'a pas de problème à leur niveau !

D'après le test SSLlabs il y a deux "chemins" de validation :
https://www.ssllabs.com/ssltest/analyze ... Results=on

Path #1 que voit Z et moi pareil avec Firefox : le certif auto-signé COMODO RSA Certification Authority est dans le magasin de confiance du navigateur, signature en SHA-384 >>> tout est ok
Path #2 : on tombe sur une AC Comodo avec un certif émis par "AddTrust External CA Root" et c'est celui-ci qui est en SHA-1. Ce certif AddTrust est dans le magasin de certif de ton système.

Regardez les certifs historiques de toutes les grosses AC racine installés sur votre système, la grande majorité signe en SHA-1 ! DigiCert, Thawte, VeriSign, Globalsign, ...
Sur un Windows : Démarrer > Exécuter > certmgr.msc > Autorités de certification racine de confiance

Sur le Win7 du taff j'ai même un Microsoft Root Authority en MD5-RSA

Sinon sur ton problème : le support Gandi n'y peux absolument rien, y'a pas de problème à leur niveau !

pas du tout d'accord.
ils revendent du comodo, a eux de s'assurer qu'il vendent un truc viable.
la CA gandi est validée par un truc moisi, c'est leur problème.

J'ai fouillé les annonces de Microsoft et Google au calme chez moi ce soir. Ca m'intéresse aussi pour le taff de savoir vers quoi on se dirige.

Chez MS c'est au 01/01/2017 que les signatures SHA-1 dans la chaîne de validation seront refusées. Au 1er janvier 2016 ce sont les certifs développeurs qui seront refusés (signature de code).
Du côté de Chrome c'est plus compliqué car cela dépend de la version du browser et de la date d'expiration du certif du site. Mais il ne bloquera pas la navigation : warning jaune / page blanche neutre / flag rouge dans la barre d'adresse selon les cas.

TBS a fait un bon récap' pour ses clients ici :
http://www.tbs-certificats.com/FAQ/fr/m ... _sha1.html

Mais surtout, cela concerne seulement les certifs finaux et les certifs des CA intermédiaires. Mais pas les certifs des CA racines.
Dans les billets de Google et MS j'ai lu :

Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

3. Does this really only affect end-entitiy certificates and not root- and intermediate-certificates?

Answer: The policy affects intermediate and end-entity certificates - both intermediates and end-entity certs should transition to SHA2 before the deadlines. Root certs aren’t validated by the SHA1 signature so they are unaffected by this policy at this time.

>>>> Donc si ton certif perso est signé SHA-256 et que celui de ton/tes CA intermédiaire(s) est signé SHA256/SHA384 alors tes clients/visiteurs n'auront pas d'alertes dans leur navigateur.

***************
Pour finir un outil de test automatisé pour savoir si on est dans les clous :
https://shaaaaaaaaaaaaa.com/

Il signale gandi.net et digicert.com comme bons, pourtant dans les 2 cas on peut remonter jusqu'à un root CA avec un certif signé en SHA1.

Bah j'ai bien fait d'avoir fouillé là-dessus.

Au boulot on vient de recevoir des nouveaux certifs OV acheté à une petite structure mais émis par OpenTrust/Keynectis.

Bah bingo : ils nous ont fourni un certif signé en SHA-1.
Plus ils nous fournissent un certif de la CA intermédiaire en SHA-1 également alors que OpenTrust l'a rafraichi. Le même cert mais signé en SHA-256 est dispo sur leur site.
Mwaarghl ... >___

Le site public www.amendes.gouv.fr possède un certificat délivré par Entrust (américain ) à l'entité :
"Ministere de l'economie, des finances et de l'industrie"

... écrit exactement comme cela, sans les accents d'un Français correct, pcq bah ouais dans les formulaires de souscription du fournisseur US bah l'UTF-8 nan c'est pas bon tu vois.