Bonjour,

Depuis un petit moment, j'obtiens une boîte de dialogue avec le message suivant:

Quote:

Vous avez tenté d'établir une connexion avec "forums.fug-fr.org". Cepedant, le certificat de sécurité présenté appartient à "fug-fr.org". Il est possible, bien que peu probable, que quelqu'un tente d'intercepter vos communications avec ce site Web.

Avant cela, j'ai accepté définitivement le certificat. A chaque fois, que je démarre firefox, j'obtiens ce fameux message. Avez-vous rencontré ce soucis?

Merci  :)

Oui, et c'est "normal" (si j'ai bien compris)... enfin Francis saura sûrement expliquer cela bien mieux :)

Slt,

apparament il y a un  certificat de sécurité perso je trouve sa un un peut unitile je connais très mal  Yabb, sa m'arrive de faire de l'infogerance sur des forums ipb,vbulletin,phpbb j'ai j'amais travailler sur des forum Yabb

:)

Bonjour,

Oui, c'est normal car le certificat appartient à fug-fr.org et est utilisé par l'url forums.fug-fr.org.
Ton navigateur te le signale donc, cela peut être un problème de sécurité.
Tu peux visualiser ce certificat, intéressant pour voir les infos dedans.
Il faudrait créer un autre certificat avec forums.fug-fr.org. ou réutiliser l'ancienne url.

Alors je vous la refait en clair :

Lorsque vous  vous connectez à un site sécurisé en SSL (qui ne tourne pas sous debian bien sur) le navigateur reçoit un certificat en provenance du site. Ce certificat est censé démontrer que le site auquel vous vous connectez est bien celui qu'il prétend être.

En régle générale les certificats sont signés par une autorité reconnue (telle que verisign ou CACert )  qui se porte garante de votre identité.
Ces autorités étant par défaut connues des navigateurs, ils acceptent le certificat et ouvrent une connexion SSL.


Mais un certificat coûte de l'argent, alors reste le choix de auto-signer son propre certificat. C'est moins sur mais cela permet de mettre en place du SSL à moindre frais.

Cependant, comme les navigateurs ne connaissent pas FUG-FR comme certificateur agrée, ils gueulent, pensant qu'il peut s'agir d'une tentative pour tromper l'utilisateur.

Il ne reste à l'utilisateur qu'a accepter manuellement ce certificat, ce qui lui permettra d'accèder  au site via une connexion sécurisée



Pour les plus curieux : http://www.traduc.org/docs/HOWTO/lecture/SSL-Certificates-HOWTO.html

Bonjour,

Oui, mais avant le changement de forum, je n'avais pas de problème, j'avais accepté le certificat, et hop !!!
Là, je ne peux pas l'accepté quel que soit l'OS, parce que je pense que le certificat est signe fug-fr et non forum.fug-fr.org.

Enfin, quand on le sait ...

Oui, il y a deux pb différents:

• le certificat est self-signé (et le restera: je n'ai aucune envie de donner de l'argent à des voleurs dont le boulot se limite à dire: "Mr Untel nous a donné de la tune, et il a l'air d'être qui il prétend être")
  
• il y a désaccord entre le hostname de l'URL des forums et celui du certif: faites une recherche sur "vhost ssl" et vous verrez qu'il n'y a que 2 solutions (hum...) à cela: distinguer les vhosts  au niveau IP (soit autant de ports - non-standards, du coup - que de vhosts, génial) ou utiliser mod_gnutls en remplacement de mod_ssl (mais là, je préfére un truc qui fonctionne avec un warning du côté utilisateur, qu'un truc avec lequel je n'ai aucune expérience, dont je ne sais rien de la stabilité, ni des "effets de bord", cas particuliers, etc.)
  

Bonjour,

Pas de prise de tête avec cela francis !!! ;)
Un fois que tu connais le problème, cela roule.

Pour une réflection purement intellectuelle (si, si cela m'arrive) :
Si c'est self signé, tu dois pouvoir "facilement" (c'est bien connu, tout est relatif comme disait Albert ;)) modifier ton url dans le certificat pour qu'il concorde avec l'url du forum ?
Cela me semblait la solution "simple" (encore un coup de relatif) à mettre en oeuvre.
Je suis à coté de la plaque ou non ?


Après le faire, voir ma 1ière phrase

C'est vrai, on peut réfléchir avec un réflecteur, mais alors ce n'est pas purement intellectuel  ;D

Marc

PS : pardon :)

Cela aurait été plus simple s'il avait généré ses clefs sur une Debian...

Désolé, c'était tentant en ce moment...

Je sors.
:-X

http://ivoras.sharanet.org/stuff/random-debian.jpg

pareil, c'était trop tentant et je suis dejà dehors :D

fgudin wrote on 19. May 2008 at 14:15:

Oui, il y a deux pb différents: le certificat est self-signé (et le restera: je n'ai aucune envie de donner de l'argent à des voleurs dont le boulot se limite à dire: "Mr Untel nous a donné de la tune, et il a l'air d'être qui il prétend être") il y a désaccord entre le hostname de l'URL des forums et celui du certif: faites une recherche sur "vhost ssl" et vous verrez qu'il n'y a que 2 solutions (hum...) à cela: distinguer les vhosts  au niveau IP (soit autant de ports - non-standards, du coup - que de vhosts, génial) ou utiliser mod_gnutls en remplacement de mod_ssl (mais là, je préfére un truc qui fonctionne avec un warning du côté utilisateur, qu'un truc avec lequel je n'ai aucune expérience, dont je ne sais rien de la stabilité, ni des "effets de bord", cas particuliers, etc.)

Petite question : pourquoi ne pas alors recréer le certificat manuellement pour changer l'hostname du certificat ?

(sinon, oui, mod_gnutls c'est vraiment pas terrible...)

(moi actuellement, ça ne me dérange pas, je pose juste la question :))

Elrohir wrote on 26. May 2008 at 07:35:

Petite question : pourquoi ne pas alors recréer le certificat manuellement pour changer l'hostname du certificat ?

Admettons qu'on ait: {forums,www,wiki,wopwopwop,webtwozero}.fug-fr.org. Quitte à avoir des avertissements, n'est-il quand même pas plus logique d'avoir le certificat au nom de la zone ?

Non² mais le prends pas mal, pour moi c'est pas grave du tout. Je demandais car ce 'problème' quand le forum avait l'ancienne URL.

C'tout  ;)

Bonjour,

Dans ce "problème" il y a plusieurs questions :
1/ Est-ce que ces messages sont gênants ?
2/ Est-ce que le fait d'avoir un message d'erreur est préjudiciable à Fug-fr ?
3/ Est-ce que c'est facile à corriger ce problème (nouveau certificat)
4/ Est-ce que cela peut être fait gratuitement ?
5/ Est-ce qu'il faut 1 ou des certificats par url (forum, wiki, etc..) ?

Pour moi :
1/ non, quand on connaît la raison (mais cf 2)
2/ Oui pour un nouvel arrivant qui peut se poser des questions, de plus cela ne fait pas très professionnel (je trouve).
3/ oui yaka faire de nouveaux certificats (facile le yaka, mais cela a un coût !)
4/ Là est la bonne question. Si la réponse est oui, pourquoi on s'em... avec ce problème !
5/ je pense qu'il faut un certificat par url fug, 1 pour le forum, 1 pour le wiki, etc... à la condition que la réponse 4 à la question soit oui !!!


Maintenant, si la réponse est non (à la question 4), il y a une autre solution.
Quand on ne peut pas solutionner un problème, on le supprime :D

On supprime le certificat et la connexion https et on passe en http.
Qu'est-ce qu'a apporte le https par rapport au http ?
Est-ce qu'il ne faudrait pas mieux avoir du http au lieu d'avoir les messages d'erreur avec les certificats et le https ?

Qu'en pensez-vous ?

Bonjour,

Théoriquement, se faire signer un certif' par une root CA c'est de l'ordre du bon millier d'euros / an.
Mais si tu n'es pas une "grosse" société, avec toute une infrastructure derrière, c'est impossible !

En revanche on peut se les auto-signer. "Yaka" le faire...
Et une fois que l'utilisateur a accepté le(s) certificat(s) auto-signé, il n'a plus d'alerte.

Mais pour un forum ou un wiki, à part pour protéger les mots de passe lors de l'identification, j'ai pas très bien compris à quoi ça pourrait servir.

Bon, je passe en "coup de vent", donc ce sera assez laconique:

• je ne changerai pas de module SSL, et il y aura des messages d'avertissement (je ne vois en quoi il serait plus logique de caler le certif sur forums.* que sur le domaine de base); je ne refais pas les explications: lisez plus haut, tout est dit.
  
• je ne renoncerai pas à SSL parce qu'une fois par session un message d'avertissement bondit au nez de l'utilisateur
  
• si FUG-FR perd des utilisateurs parce qu'ils ne savent pas lire une boite de dialogue, je doute qu'ils sachent lire quoi que ce soit d'autre ici. Non ?

Désolé d'être un peu sec sur le sujet, mais là, honnêtement j'ai d'autres chats à fouetter et je préférerais largement passer du temps à traduire YaBB ou faire avancer le contenu.

Ah mais moi je réagissais juste au fait que l'URL a changé depuis que la nouvelle version du forum est arrivée, c'tout...  :-X

Putain. Je viens de passer à Firefox 3. Hé ben, l'erreur est assez violente quand on se connecte en https. On passe du simple 'warning' à 'une grosse page d'erreur de firefox où il faut cliquer plusieurs fois pour autoriser firefox à se connecter en https au site'.

Vive Firefox 3.

Elrohir wrote on 06. Jun 2008 at 09:52:

Putain. Je viens de passer à Firefox 3. Hé ben, l'erreur est assez violente quand on se connecte en https. On passe du simple 'warning' à 'une grosse page d'erreur de firefox où il faut cliquer plusieurs fois pour autoriser firefox à se connecter en https au site'. Vive Firefox 3.

Effectivement, au boulot, j'ai bien vu la différence avec nos dizaines de lames dont le "remote control" utilise un certif self-signé... J'ai failli forcer l'installation de la version 2.

Bonjour,

Avec Opera 9.51, plus de problème de certificat, il suffit de l'accepter et de faire retenir ce choix.
Avec FireFox 3.0.1, plus de message après avoir accepter le certificat.
Idem pour la version 3.0 RC2 sous Debian.