Bug #329
fermé
Pb de certificats sur l'applet de Drag'n'Drop
0%
Description
Je reprends ici les problèmes déjà évoqués par mail.
2 pb identifiés :
- Une alerte de sécurité au chargement de l'applet, lié à un certificat non renouvelé coté silverpeas (cette alerte peut être acceptée une fois pour toute en cochant "Toujours faire confiance")
- Une seconde alerte de sécurité java, à l'import de fichier.
Je donne le détail de la procédure :
Je veux déposer un fichier sur Silverpeas, je clique donc sur "Pour déposer rapidement un fichier...".
L'applet commence à s'ouvrir, et là je reçois un premier avertissement :
Java a découvert des composants d'application pourraient présenter un risque de sécurité. Nom : Silverpeas Dran And Drop Bloquer l'exécution des composants potentiellement dangereux ? (recommandé)
Alors bien prudemment, je dis que je veux bloquer les composants potentiellement dangereux.
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.
Damned, s'il me cause en anglais, ça doit être grave ! :
Invalid Certificate The security certificate on this server is not valid or has expired. Do you wish to continue ?
Après un assez gros effort de traduction, toujours prudent, je réponds non...
Il n'a pas l'air content :
An error Was Encountered javax.net.ssl.SSLHandShakeExecption:java.security.cert.CertificateExeptio: Untrusted Server Certificate Chain
Puisqu'il y a un seul bouton, je clique dessus... et je ne suis pas très surpris de l'échec de ma tentative de dépôt de fichier.
Bon, je recommence... J'ai réussi à comprendre le message en anglais... Je sais un peu ce qu'est un certificat... J'aurais bien aimé qu'il me le présente... Mais allez, je me lance : je dis que je veux continuer. Et là, ça marche, malgré ma volonté de bloquer les composants potentiellement dangereux.
Je suis peut-être habité par une curiosité malsaine... je voudrais bien savoir ce qui se passe si je ne bloque pas les composants potentiellement dangereux...
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.
Il m'affiche exactement le même message. Si je réponds que je ne veux pas continuer, il m'affiche la même erreur et échoue.
Si je réponds que je veux continuer, ça marche.
Le fonctionnement est exactement identique, que je dise de bloquer ou de ne pas bloquer. Ce n'était pas la peine de poser la question !
----------
Maintenant, voici ce que nous avons fait et échangé avec l'équipe système et l'équipe réseau/sécurité :
- Le passage au certificat TERENA date du 26 février 2010, ce qui semble correspondre au début des problèmes
- Voici l'URL, avec les certificats des autorités qui constituent la chaine de certification pour les certificats délivrés par l'autorité TERENA : http://www.renater.fr/spip.php?article738
- Les 3 certificats des autorités liées ont été ajoutés dans le keystore java utilisé par Silverpeas (/usr/lib/j2sdk1.6-sun/jre/lib/security/cacerts) tel qu'il est configuré dans systemSettings.properties
Nous avons toujours les mêmes problèmes.
Fichiers
Mis à jour par François Cedelle il y a plus de 14 ans
- Fichier capture_ssl2.cap capture_ssl2.cap ajouté
Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans
La chaine de certificats doit être valide sur le poste client (celui qui a ouvert le navigateur) pas coté serveur.
Est ce que les opérations ont bien été réalisées sur le poste client ?
Mis à jour par François Cedelle il y a plus de 14 ans
Il me semble impossible de faire ajouter les 3 certificats coté client sur l'ensemble de nos postes...
Il n'y a pas solutions coté serveur ?
Question : dans systemSettings.properties j'indique un keystore dans lequel j'ai ajouté tous les cert qui vont bien. Mais comment savoir si jboss l'utilise bien ?
En effet, dans la conf jboss je trouve :
/usr/share/jboss403# grep -ri keystoreFile ./*
./server/silverpeas/deploy/jbossweb-tomcat55.sar/server.xml: keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"
Le fichier chap8.keystore n'existe pas. Normal docteur ?
Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans
En fait l'erreur vient de l'applet qui essaye d'ouvrir une connexion SSL vers le serveur et c'est elle qui doit faire confiance au certificat du serveur. Il faut donc que l'applet puisse trouver l'autorité de certification, et pour cela elle se base sur le trustore de la JVM sur laquelle elle s'exécute : c'est à dire la JRE du poste client.
Il doit être possible de désactiver la validation du certificat dans l'applet (en tout cas cela est le cas dans l'applet libre vers laquelle nous envisageons de migrer).
Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans
- Statut changé de New à Resolved
- Version cible mis à Version 5.1.2
- Votre version de Silverpeas mis à 5.0
- Votre base de données mis à PostgreSQL
L'utilisation de JUpload devrait permettre de contourner ce problème
Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans
- Statut changé de Resolved à Closed