Aller au contenu

Certificat SSL Wildcard


Dadou

Sujets conseillés

Bonjour,



Je cherche depuis ce matin les raisons qui feraient qu'un certificat SSL Wildcard affiche sur certaines version d'Internet Explorer (pourtant plus récentes que la mienne) le message d'erreur suivant :



"Autorité de certification non reconnue" ben, pourtant, ça fonctionne sur tous les navigateurs que moi j'ai testé, mais pas sur celui du client.



Si vous avez une idée du pourquoi, et comment résoudre ce problème, je suis a l'écoute.



Merci d'avance.


Lien vers le commentaire
Partager sur d’autres sites

Il est émis par qui le certificat? Il n'y a pas besoin d'un certificat intermédiaire que tu n'aurais pas inclus? La politique de sécurité d'IE sur la machine du client est-elle standard?



Tu as une copie d'écran du message? Histoire de voir si c'est IE qui gueule ou si ça pourrait effectivement être un firewall sur le chemin...



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Il est emis par Go daddy, et quand je regarde le détail du certificat, j'ai bien un certificat intermédiaire appartenant à Go Daddy.



Le message est le message est le simplifié.



Par contre, pour la politique de sécurité, il m'est impossible de répondre, mais vu le type de client, elle doit être assez élevé.


post-1590-0-10447900-1371473482_thumb.jp

post-1590-0-22622100-1371474425_thumb.pn

Lien vers le commentaire
Partager sur d’autres sites

Ta hiérarchie de certificats ne remonte pas jusqu'à un certificat racine standard dans IE, donc il te manque (au moins) un certificat intermédiaire. Tu peux trouver la tonne de certificates intermédiaires de Godaddy ici:


https://certs.godaddy.com/anonymous/repository.pki



NB: tu n'as pas tout flouté sur ta première capture.



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Ah ben non, j'ai dit une bêtise, le certificat racine de Godaddy est bien inclus dans IE, je ne l'avais pas vu tout à l'heure.



Donc soit il manque sur la machine du client, soit il y a quelque chose dans la config qui l'empêche de le reconnaître.



Tu peux commencer par vérifier que le certificat racine est présent: Outils -> Options Internet -> Contenu -> Certificats -> Autorités de certification racine de confiance (ou quelque chose d'approchant, j'ai un IE en anglais là).



De mémoire la liste est mise à jour séparément par Windows Update, il y a peut-être quelque chose à voir de ce côté-là? (si le certificat manque effectivement).



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Ok, ça confirme ce que je pensais, sur mon poste, et mon ordi perso, ça fonctionne bien, ce serait donc bien une histoire de mise à jour manquante, et la, vu le type de structure, cela ne m'étonnerais pas du tout.


Lien vers le commentaire
Partager sur d’autres sites

Ben non justement, le certificat racine, il l'avait déjà



Pareil, sur mon téléphone, j'avais le certificat racine, et j'avais aussi l'erreur, j'ai ajouté le certificat intermédiaire, et la tout est bon


Lien vers le commentaire
Partager sur d’autres sites

Les certificats intermédiaires tu devrais les ajouter côté serveur, pas côté client. Mais il ne peut fonctionner que si le certificat racine correspondant est déjà sur le client.



Note bien qu'il y a plusieurs certificats racine pour Goddady (et bien d'autres), des anciens et des plus récents. Si ça se trouve tu avais l'ancien certificat racine, mais le certificat était signé avec le nouveau?



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Sur le serveur, on a installé ceux qui nous ont été fourni lors de la génération de notre certificat. Je ne comprend pas pourquoi sur certains postes il nous trouve bien toute la chaine et d'autres non


Lien vers le commentaire
Partager sur d’autres sites

Si le certificat racine n'est pas installé, c'est normal. Ton certificat est signé avec la clef associée au certificat intermédiaire, et le certificat intermédiaire est signé avec le clef associée au certificat racine (il peut y avoir plus de certificats intermédiaires).



Un navigateur remonte la chaîne des certificats jusqu'à ce qu'il en trouve un auquel il fait confiance (qui est déjà dans sa liste de certificats de confiance). Si le certificat racine de Goddady n'est pas installé, alors il arrive au bout de la chaîne sans avoir trouvé qui que ce soit à qui il fait confiance, donc il beugle.



Il suffit d'installer n'importe lequel des certificats de la chaîne (y compris le certificat lié au domaine) dans les certificats de confiance pour qu'il arrête de beugler. Mais plus haut tu remontes (au certificat racine), plus tu t'assures de la tranquillité pour le jour où il y aura un autre certificat, qui utilise éventuellement des certificats intermédiaires différents, mais la même racine.



Dans ton cas, il manque le certificat racine (ou tu as un autre certificat racine de Goddady, ce qui revient au même, pour lui c'est un certificat complètement différent). En installant le certificat racine, tu es tranquille pour un moment.



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Au niveau du serveur, si tu as déjà bien tous les certificats intermédiaires, rien. Mais côté client, c'est le certificat racine qu'il faut installer, pas le certificat intermédiaire.



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Quand on a comparé les certificats présents sur ma machine, et celle du partenaire, le seul qui manquait chez eux, était le certificat intermediaire, les certificats racines étaient identiques, donc du coup, je ne vois pas.


Lien vers le commentaire
Partager sur d’autres sites

Tu ne devrais pas avoir besoin de certificat intermédiaire côté client, à partir du moment où il a été signé avec la clef correspondant à un certificat racine installé.



Note bien qu'il y a plusieurs certificats racine Godaddy:


- "Go Daddy Class 2 Certification Authority Root Certificate" (ancien), qui apparaît sous le nom "Go Daddy Class 2 Certification Authority"


- "Go Daddy Class 2 Certification Authority Root Certificate - G2" (nouveau, qui date de 2009 quand même), qui apparaît sous le nom "Go Daddy Root Certificate Authority - G2"



Il est vraisemblable qu'ils aient l'ancien certificat racine et pas le nouveau, ce qui expliquerait que les certificats ne soient pas acceptés automatiquement. Si tu rajoutes le nouveau certificat racine, ça devrait résoudre le problème. Rajouter le certificat intermédiaire résout aussi le problème, mais si jamais ils sortent un nouveau certificat intermédiaire ça ne marchera plus avec des certificats signés avec ce nouveau certificat intermédiaire, alors que ça continuera à marcher si le certificat intermédiaire est toujours signé par le même certificat racine (ce qui devrait être le cas pour un moment, les certificats racine sont embarqués dans les browsers, alors on n'en change pas tous les jours, alors que les certificats intermédiaires ils peuvent les changer quand ils veulent).



Si le problème est bien qu'ils ont encore le certificat racine G1 et pas le G2, une autre option consiste à ajouter le "Go Daddy G1 to G2 Cross Certificate" comme certificat intermédiaire côté serveur, ça devrait permettre au browser de reconnaître automatiquement le certificat sans avoir à installer quoi que ce soit (pas testé).



Jacques.


Lien vers le commentaire
Partager sur d’autres sites

Non, non, on a vérifié, c'est bien le G2 qu'ils ont d'installés, de même sur mon téléphone, c'est bien aussi le G2 avec les mêmes dates de validité, et sans l'intermédiaire, "Authorité non reconnu" huh.gif



J'ai fait le test de supprimer le certificat intermédiaire de mon poste, et effectivement, il n'y en a pas besoin.



Il doit y avoir autre chose qui bloque, mais l'ajout du certificat intermédiaire nous permet en attendant de passer outre, c'est franchement casse pied surtout quand mes prestataires techniques n'ont pas le niveau pour régler le problème sad.gif



En tout cas, merci a toi et de tes explications, cela m'a bien permis de comprendre comment cela fonctionnait, et qu'il faut que mes prestataires techniques approfondissent le sujet pour que cela fonctionne correctement


Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...