Certificat SSL Wildcard

[Dadou]

Bonjour,

Je cherche depuis ce matin les raisons qui feraient qu'un certificat SSL Wildcard affiche sur certaines version d'Internet Explorer (pourtant plus récentes que la mienne) le message d'erreur suivant :

"Autorité de certification non reconnue" ben, pourtant, ça fonctionne sur tous les navigateurs que moi j'ai testé, mais pas sur celui du client.

Si vous avez une idée du pourquoi, et comment résoudre ce problème, je suis a l'écoute.

Merci d'avance.

[Dadou]

Une idée me turlupine, est ce qu'un firewall d'entreprise peut casser les pieds pour les certificats SSL?

[jcaron]

Il est émis par qui le certificat? Il n'y a pas besoin d'un certificat intermédiaire que tu n'aurais pas inclus? La politique de sécurité d'IE sur la machine du client est-elle standard?

Tu as une copie d'écran du message? Histoire de voir si c'est IE qui gueule ou si ça pourrait effectivement être un firewall sur le chemin...

Jacques.

[Dadou]

Il est emis par Go daddy, et quand je regarde le détail du certificat, j'ai bien un certificat intermédiaire appartenant à Go Daddy.

Le message est le message est le simplifié.

Par contre, pour la politique de sécurité, il m'est impossible de répondre, mais vu le type de client, elle doit être assez élevé.

[captain_torche]

Masque le nom également dans le titre de la fenêtre

[Dadou]

Bien vu

[jcaron]

Ta hiérarchie de certificats ne remonte pas jusqu'à un certificat racine standard dans IE, donc il te manque (au moins) un certificat intermédiaire. Tu peux trouver la tonne de certificates intermédiaires de Godaddy ici:

https://certs.godaddy.com/anonymous/repository.pki

NB: tu n'as pas tout flouté sur ta première capture.

Jacques.

[Dadou]

Merci Jacques, cela va très certainement m'aider, et orienter notre admin a faire le necessaire

[Dadou]

Bon, il me dit qu'il est installé le certificat intermédiaire, comment faire pour savoir lequel il manque?

[jcaron]

Ah ben non, j'ai dit une bêtise, le certificat racine de Godaddy est bien inclus dans IE, je ne l'avais pas vu tout à l'heure.

Donc soit il manque sur la machine du client, soit il y a quelque chose dans la config qui l'empêche de le reconnaître.

Tu peux commencer par vérifier que le certificat racine est présent: Outils -> Options Internet -> Contenu -> Certificats -> Autorités de certification racine de confiance (ou quelque chose d'approchant, j'ai un IE en anglais là).

De mémoire la liste est mise à jour séparément par Windows Update, il y a peut-être quelque chose à voir de ce côté-là? (si le certificat manque effectivement).

Jacques.

[Dadou]

Ok, ça confirme ce que je pensais, sur mon poste, et mon ordi perso, ça fonctionne bien, ce serait donc bien une histoire de mise à jour manquante, et la, vu le type de structure, cela ne m'étonnerais pas du tout.

[Dadou]

Appament, il manquait le certificat intermédiaire dans l'OS du partenaire, je lui ai fourni la liste de liens

[jcaron]

Dans son cas c'est plutôt le certificat racine qu'il faut ajouter.

Jacques.

[Dadou]

Ben non justement, le certificat racine, il l'avait déjà

Pareil, sur mon téléphone, j'avais le certificat racine, et j'avais aussi l'erreur, j'ai ajouté le certificat intermédiaire, et la tout est bon

[jcaron]

Les certificats intermédiaires tu devrais les ajouter côté serveur, pas côté client. Mais il ne peut fonctionner que si le certificat racine correspondant est déjà sur le client.

Note bien qu'il y a plusieurs certificats racine pour Goddady (et bien d'autres), des anciens et des plus récents. Si ça se trouve tu avais l'ancien certificat racine, mais le certificat était signé avec le nouveau?

Jacques.

[Dadou]

Sur le serveur, on a installé ceux qui nous ont été fourni lors de la génération de notre certificat. Je ne comprend pas pourquoi sur certains postes il nous trouve bien toute la chaine et d'autres non

[jcaron]

Si le certificat racine n'est pas installé, c'est normal. Ton certificat est signé avec la clef associée au certificat intermédiaire, et le certificat intermédiaire est signé avec le clef associée au certificat racine (il peut y avoir plus de certificats intermédiaires).

Un navigateur remonte la chaîne des certificats jusqu'à ce qu'il en trouve un auquel il fait confiance (qui est déjà dans sa liste de certificats de confiance). Si le certificat racine de Goddady n'est pas installé, alors il arrive au bout de la chaîne sans avoir trouvé qui que ce soit à qui il fait confiance, donc il beugle.

Il suffit d'installer n'importe lequel des certificats de la chaîne (y compris le certificat lié au domaine) dans les certificats de confiance pour qu'il arrête de beugler. Mais plus haut tu remontes (au certificat racine), plus tu t'assures de la tranquillité pour le jour où il y aura un autre certificat, qui utilise éventuellement des certificats intermédiaires différents, mais la même racine.

Dans ton cas, il manque le certificat racine (ou tu as un autre certificat racine de Goddady, ce qui revient au même, pour lui c'est un certificat complètement différent). En installant le certificat racine, tu es tranquille pour un moment.

Jacques.

[Dadou]

Je ne comprend pas tout,

qu'est ce qu'il faut faire au niveau du serveur? quel certificat dois je ajouter ?

[jcaron]

Au niveau du serveur, si tu as déjà bien tous les certificats intermédiaires, rien. Mais côté client, c'est le certificat racine qu'il faut installer, pas le certificat intermédiaire.

Jacques.

[Dadou]

Quand on a comparé les certificats présents sur ma machine, et celle du partenaire, le seul qui manquait chez eux, était le certificat intermediaire, les certificats racines étaient identiques, donc du coup, je ne vois pas.

[jcaron]

Tu ne devrais pas avoir besoin de certificat intermédiaire côté client, à partir du moment où il a été signé avec la clef correspondant à un certificat racine installé.

Note bien qu'il y a plusieurs certificats racine Godaddy:

- "Go Daddy Class 2 Certification Authority Root Certificate" (ancien), qui apparaît sous le nom "Go Daddy Class 2 Certification Authority"

- "Go Daddy Class 2 Certification Authority Root Certificate - G2" (nouveau, qui date de 2009 quand même), qui apparaît sous le nom "Go Daddy Root Certificate Authority - G2"

Il est vraisemblable qu'ils aient l'ancien certificat racine et pas le nouveau, ce qui expliquerait que les certificats ne soient pas acceptés automatiquement. Si tu rajoutes le nouveau certificat racine, ça devrait résoudre le problème. Rajouter le certificat intermédiaire résout aussi le problème, mais si jamais ils sortent un nouveau certificat intermédiaire ça ne marchera plus avec des certificats signés avec ce nouveau certificat intermédiaire, alors que ça continuera à marcher si le certificat intermédiaire est toujours signé par le même certificat racine (ce qui devrait être le cas pour un moment, les certificats racine sont embarqués dans les browsers, alors on n'en change pas tous les jours, alors que les certificats intermédiaires ils peuvent les changer quand ils veulent).

Si le problème est bien qu'ils ont encore le certificat racine G1 et pas le G2, une autre option consiste à ajouter le "Go Daddy G1 to G2 Cross Certificate" comme certificat intermédiaire côté serveur, ça devrait permettre au browser de reconnaître automatiquement le certificat sans avoir à installer quoi que ce soit (pas testé).

Jacques.

[Dadou]

Non, non, on a vérifié, c'est bien le G2 qu'ils ont d'installés, de même sur mon téléphone, c'est bien aussi le G2 avec les mêmes dates de validité, et sans l'intermédiaire, "Authorité non reconnu"

J'ai fait le test de supprimer le certificat intermédiaire de mon poste, et effectivement, il n'y en a pas besoin.

Il doit y avoir autre chose qui bloque, mais l'ajout du certificat intermédiaire nous permet en attendant de passer outre, c'est franchement casse pied surtout quand mes prestataires techniques n'ont pas le niveau pour régler le problème

En tout cas, merci a toi et de tes explications, cela m'a bien permis de comprendre comment cela fonctionnait, et qu'il faut que mes prestataires techniques approfondissent le sujet pour que cela fonctionne correctement