[Certificats]Accéder à un site en HTTPS

Bonjour les Cafzoniens !

Voilà le truc : dans notre établissement, nous avons un logiciel en PHP qui gère les notes des profs. Ce logiciel est sur une DMZ. On y accède via une adresse type « https://ipdeladmz ».

Ca marche bien, sauf qu’à chaque connexion, IE nous dit ça :

On fait donc à chaque fois « poursuivre avec ce site Web ».

Sur un ordi perso, ça pose pas de soucis, parce qu’on enregistre une bonne fois pour toute les préférences, et il nous ne redemande pas ça. Mais dans l’établissement, les ordis sont en réseau, et chaque personne y accède via son compte réseau. Or, IE (ou Firefox) n’enregistre pas les préférences dans les comptes. Et donc chaque fois faut cliquer sur « poursuivre avec ce site web ».

Je pensais que pour éviter ça, il fallait acheter un Certificat à Microsoft pour qu’il reconnaisse le site en https. Mais on m’a dit que ce n’était pas la peine.

D’où question : où dois-je aller pour configurer IE pour qu’il « retienne » ce site web comme sécurisé ?

Merci de vos pistes

Si vos machines ont un controleur de domaine, vous pouvez définir ce certificat comme faisant partie des certificats de confiance dans la domain policy. Du coup, la configuration est domain-wide, sans se poser de question. L’autre solution est de faire générer ce certificat par le controleur de domaine, et de l’installer sur le serveur web. (vu qu’un domaine active directory se comporte aussi comme une PKI, la machine génératrice du certificat sera considérée comme étant une source fiable).

Sinon, la derniere solution consiste à acheter un certificat auprès d’une autorité de certification valide (verisign ou d’autres). Cela dit, vu le nom de la machine, ça risque d’être compliqué (je pense que les autorités de certification demandent à ce que ce soit un nom de machine sur un domaine valide, mais c’est à vérifier)

Tout dépend aussi de la version d’IE utilisée.
Avec IE8 et chez moi, j’ai des problèmes, alors qu’avec IE6 ( sic ) et au bureau tout baigne.

@Vanes : houlà c’est compliqué ton message
Si je comprends bien, le certificat, c’est jamais qu’un fichier en fait ? Si on place ce fichier dans le profil utilisé pour générer les profils des comptes, c’est bon ?
Et pour avoir ce fichier, il faut qu’il soit fait par une machine qui ait un « controleur de domaine ». C’est quoi cette bête ?

Et on a IE 8, qui effectivement parait pénible à ce niveau là.

Il faut acheter un certificat chez une autorité de certification reconnue, il n’y a pas d’autre solution propre.

Microsoft n’est pas une autorité de certification reconnue. Il y a thawte, verisign, keynetics (attention celui là n’est pas reconnu par java). Et ne pas se tromper sur le nom d’host lors de la déclaration.

Demande au service info de ton académie, ils ont sans doute déjà une procédure interne pour ce genre de choses.

Heu, c’est faux, dans le cas d’un intranet en particulier. On est pas sur le web la, voir message de vanes.

Ce qu’il faut comprendre c’est qu’un certificat est valable que si toute la chaîne est valable et que la racine est de confiance. Pour faire parti d’un domaine, il faut faire confiance au contrôleur…

@Fser : ben justement le service info de l’académie, ils rament un peu, comme nous. Chacun fait sa petite cuisine quoi (vu que ça dépend des logiciels de notes utilisés par chacun). Celui qui nous a monté le serveur nous a imposé le https, mais bon, du coup c’est lourdingue.

Après moultes recherches de mon côté, j’en conclus que rien n’est simple avec IE, et qu’il faudrait payer (ce qu’on veut éviter justement).
Avec Firefox, ce serait un peu plus jouable, mais autant on peut imposer l’utilisation de Firefox dans l’établissement, autant on ne peut rien faire quand les gens sont chez eux… Et d’après mes stats, pas mal utilisent IE7 ou IE8. Bon.

@Glop : mais justement je comprends pas. Le “controleur”, c’est quoi ? Notre serveur ? Concrètement ce “certificat”, il se met où (à supposer qu’on l’ait) ?
Notre architecture est la suivante si j’ai tout compris :

Internet <- pare_feu et filtres <- Serveur -> tous les ordis de l’établissement
_____________ ^
_____________ |
_____________ |
_____________DMZ

Il va falloir qu’on réfléchisse à peut-être passer en http à la limite (certains établissements l’ont fait). Après tout, ce qui transite n’est pas forcément très sensible, mais quand même.

C’est pareil avec firefox, ca a rien a voir avec la navigateur (a part qu’il rale plus ou moins sur un certificat invalide, mais dans tous les cas le certif est invalide, il doit pas etre accepte sans warning). J’aime bien quand t’y vois la veine capitaliste de IE vs Firefox mais c’est completement rate pour le coup.

Un exemple d’explication de comment les certificats ont une chaine/racine etc: http://gdp.globus.org/gt4-tutorial/multiplehtml/ch09s04.html pour ptet mieux comprendre.

Donc si on suit comment sont generes les certificats, pour intranet il y a aucune raison de payer vu que t’as pas besoin d’un certif signe par une authoritee publique vu que tu controlles tous les clients dans ton reseau local. Maintenant oui, si tu y accedes depuis des machines qui sont pas sous ton controlle (en general par internet) alors il te faut un certif qui correspond a ton entree DNS publique. Ce certificat pour www.monsite.com sera signee par une authoritee dont le certificat est deja pre-installe sur la machine client par defaut (Verisign/Thawte/etc sont des authorite de signatures standard). Si t’es un peu paume c’est normal la securite c’est complique au debut :).

Enfin donc, les gens a qui appartient cette authoritee il font payer pour signer ton certif… ce qui encore une fois a rien a voir avec le navigateur (auquel tu peux dire d’ignorer que le certif en question est invalide vu qu’il a une racine qui est pas de confiance). Y a toujours la solution de rajouter la racine dans la liste des racines de confiance dans ton OS quel que soit la navigateur cela dit. C’est forcement extensible.

Le truc important c’est que HTTPS ca sert pas (qu’)a crypter les donnees ca sert surtout et en priorite a s’assurer que le serveur auquel tu parles est bien ce qu’il pretend etre. C’est ca qui est super important. Quand tu te connectes a ta banque tu es sur que tu parles bien a ta banque et pas a qqn qui pretend etre ta banque.

Comme dit plus haut, les authorites de certifications elles sont stoquees dans la banque de certificats de l’OS (les certificats qui sont « self-signed » dans la page linkee plus haut). Faut bien commencer la « trust chain » quelque part! Donc elles sont dans la categorie « authoritees de certifications » quelque part dans l’OS (quel qu’il soit Win/Unix/etc). Tu y accede avec MMC par exemple sous win si tu veux rajouter manuellement un certif dans une des categories (demarrer->MMC->Add Snap In-> Certificates → Local Computer et apres tu explores, mais change rien sans comprendre sinon tu peux niquer la securite de tout ton OS).

Bon apres tout ca c’est independant du domaine. Le domaine c’est par dessus: si t’es dans un domaine, t’as un groupe de machine qui forme un reseau et qui sont administrees de maniere commune, tu peux rajouter un certif racine (ceux qui sont « self-signed » et de confiance) a toutes tes machines qui font partie du domaine (sur le domaine t’en as deja un par defaut pour pouvoir faire parti du domaine en question) il est rajoute sur toutes la machine du reseau des qu’elles rejoingnent le domaine.

C’est un truc super standard d’adminstration de machines des que t’en as plus que 4 ou 5. C’est impossible a gerer plus de 5 machines si tu peux pas centraliser la gestion. Si chaque fois que tu veux changer un truc il te faut aller sur chaque machine faire le changement, c’est un coup a se pendre. C’est a ca que sert un domaine.

je me trompe, ou ton serveur est un serveur kwartz?

Gné ?? Va falloir que tu m’expliques où j’ai dit (ou même sous entendu) ça ! On utilise les deux navigateurs dans l’établissement ! (et même IE principalement d’ailleurs, parce qu’avec Firefox, c’est encore plus pénible de valider le site à chaque fois, vu qu’il y a plusieurs fenêtres qui s’enchainent).
Depuis que je suis sur le sujet, j’ai juste entendu ou lu qu’avec Firefox notre problème pouvait (peut-être) se régler sans raquer, mais faut faire des manip’ pénibles ; tandis qu’avec IE8, on ne peut pas faire autrement que raquer. De notre point de vue, on préfèrerait une solution gratuite, tant qu’à faire. Mais bon rien de plus que ça.
Si tu vois la dedans « la veine capitaliste IE vs Firefox », euh, faut redescendre un peu hein, t’es trop habitué à te battre contre des messages anti-MS, et c’est pas du tout (du tout) mon propos (et même pas mon style tout court d’ailleurs, j’ai passé l’âge de ces conneries).

Pour le reste, merci des précisions ! Je comprends un poil mieux même si ça reste un peu flou. Ah et surtout sur la fonction du https. Effectivement je pensais que c’était principalement pour crypter les données (ce qui n’est pas forcément primordial pour nous en fait).

Mais alors, euh, je vais dire une connerie peut-être, mais notre https, s’il n’est pas certifié, ça fait que quelqu’un d’extérieur n’est pas certain qu’il atterrit bien sur le bon site ? Notre serveur n’est pas « authentifié » en quelque sorte ?
Ou alors le simple fait d’être en https garanti quand même ça ?

Ah oui ça donc on pourrait le faire, au moins pour que, sur notre parc, le problème ne se pose plus !

Houlàlà, bon je pense qu’on va rester comme ça, tant pis, on fera à chaque fois « continuer avec ce site », et basta. Parce que là ça dépasse clairement et mes compétences, et le temps que j’ai à y consacrer (le bénévolat, ça va 5 minutes).

Euh, alors euh non. Enfin, je crois pas. C’est un serveur quoi. Qu’est-ce que ça a de particulier un serveur « Kwartz » ?

Cela dit, je pense que le serveur est un linux avec un samba…

Perdu c’est toi qui a faux (pour une fois).

Effectivement, il est possible dans un intranet d’installer le certificat de la CA sur tous les pcs (et dans tous les magasins de tous les logiciels), mais c’est ce que l’on veux éviter (passer sur tous les postes). Car si dans le beau monde tout MS, tout marche direct (enfin si on a les dernières versions), dans la vraie vie, c’est un peu plus rock & roll (java et firefox ont leurs propres magasins pour commencer).

Je persiste : Le seul et unique moyen d’être sur que le navigateur acceptera le certificat sans broncher est d’utiliser un certificat signée par une CA reconnue.

Ce n’est pas si cher un certif (une 20aine d’euro, je crois)

Bon, il est vrai que j’ai fait une hypothèse : l’intranet n’est pas maitrisé. Dans le cas d’un intranet maitrisé, il est certainement simple de diffuser le certif (du serveur ou de la CA) via GPO. Mais là la description laissait penser que c’était le souk (déjà éducation nationale donne un indice)

PS : je ne savais pas que les DCs d’AD faisait CA. Depuis quelle version ? 2008 ? C’est une CA multimaster ou cela tourne sur un seul contrôleur ?

Non c’est garanti que si le certificat est signe par une authorite racine de confiance. C’est ta confiance dans l’authorite qui a signe le certificat racine qui est la maniere dont tu crois que le site est celui qu’il pretend etre. C’est pour ca que Verisign et autre ne te delivre un certificat signe qu’apres avoir verifie que tu es bien celui que tu pretends etre. Essaye de choper un certif pour un sous domaine de microsoft.com chez Verisign, ils vont t’envoyer balader. C’est bien pour ca que tu payes pour le service

Ok donc en fait là, à l’heure actuelle, ça sert strictement à rien d’être en https (SAUF que les données sont cryptées, quand même, c’est ça ?).

J’avais entendu plus cher pour les Certif’. Faut voir si c’est abordable. C’est par an, ou c’est « à vie » ? Après, je ne saurais pas comment installer ce foutu bidule de toute façon je pense.

Je vais quand même voir ce que tu dis Glop sur le coup de l’intranet et des « auto-certif’ ». Ca peut valoir le coup, au moins pour être peinard dans l’établissement.

Bof c’est pas plus le souk que dans une entreprise lambda hein ! Si la description que je donne te laisse penser que c’est le souk, c’est que, comme tu l’auras deviné, gestionnaire réseau, c’est pas mon métier, à la base ! J’ai (presque) pas de formation pour ça, je fais ça (presque) bénévolement pour que ça tourne bien sur l’établissement, et voilà. Merci la Geekzone d’ailleurs pour répondre à mes questions, parce que mine de rien ça aide.

Mais donc fatalement je pige pas tout, et j’ai surtout pas le temps de tout piger. Et donc fatalement quand j’essaie d’expliquer un truc, bah j’utilise pas forcément les bons mots, où je ne décris pas forcément ce qu’il faut. Alors oui du coup je comprends que ça donne l’impression de « souk ».

On a bien des gens qui nous aident, mais ils sont pas super dispos non plus, bref… (Je vous cache pas que la politique actuelle y fait pour beaucoup).

Sur le matos, je pense quand même qu’on est plutôt performants. Mais c’est sur que sur la gestion elle même, même si on a des outils, bah on n’est pas des pros (enfin, pas moi en tout cas ; certains collègues si, comme les prof d’infos par exemple).

Merci pour vos efforts en tout cas.

Oui, la tu l’utilise que pour le cote crypto. Si c’est la seule chose dont tu as besoin pourquoi pas hein.

Tu peux acheter un certif pour ton entree DNS pour pas trop cher, dans les $50 par an genre http://www.godaddy.com/ssl/ssl-certificates.aspx en single site (pas de sous domaines, donc attention).

Apres quelques coups d’oeil sur le thread.

En caricaturant, tu as besoin d’un gendarme qui va dire

• je certifie que le site que vous visitez actuellement est bien celui qu’il prétend être (l’aspect crypté de la communication est secondaire).

Au jour d’aujourd’hui, les certifieurs (gendarmes) sont des organismes officiels appelés « autorité de certification ».
Ils proposent leur services à tout le monde, mais c’est payant.
Par contre ils sont reconnus de base par les navigateurs comme étant des sources de certification fiable.

Solution 1 : tu fais payer le demandeur pour un an, et tu recevras un certificat à « poser » dans ton site.
(bon c’est pas compliqué, mais il faut avoir la main sur tes fichiers de conf apache ou autre, NB l’adresse doit correspondre à une adresse publique)

Solution 2 : tu passes par un certifieur gratuit (en carton ?) moyennant une exception de sécurité que tes usagers doivent inclure dans leur navigateur.
(genre je fais confiance à ce certtifieur, cher navigateur, je te prie d’accepter ses créances en toute confiance)
Attention, c’est potentiellement dangereux, car ce certifieur peux certifier tout et n’importe quoi (y compris un site de phishing)

http://www.cacert.org/

Solution 3 : tu crées sur ton serveur ton propre serveur de certification.
C’est moins dangereux que le point 2 (dans l’absolu) mais ça implique que tu as la main sur le serveur (et eventuellement un peu de connaissances techniques).
Il faut aussi que tes utilisateurs déclarent explicitement que ton serveur est une autorité de certification digne de confiance.

Créer un certificat SSL multi-domaines — Lone-Wolf Scripts

Après si ça tourne sur du ISS, je ne sais pas. Glop devrait pouvoir te renseigner bien mieux.

Pardon pour le souk si je t’ai heurté. Je constate juste que dans ma boite, où nous sommes une armée pour gérer le truc, ça tourne pas trop mal, mais il y a régulièrement des ratés, surtout sur les certifs. On a donc décidé sur les applis sensibles de prendre des certifs de chez verisign.

Car si il est possible de distribuer des certifs ‘untrust’ sur un intranet, on est pas à l’abri de la personne qui vient avec son portable ou du guignol qui veut utiliser safari ou chrome… Même si tu dis que ce n’est pas ton problème, c’est toi qui sera tourmenté (y compris pour l’envoyer bouler).

Pour l’insertion d’un certif dans IIS, ce n’est pas sorcier, sinon se reporter à la doc du produit, il y a toujours un chapitre qui explique pas à pas.

Sinon, apparemment, l’Education Nationale est une autorité pour les certificats :
voir là

Je ne sais pas si cela concerne ton établissement (Si tu étais dans l’enseignement supérieur, j’aurais la réponse)
Essaye peut-être de te renseigner auprès de ton académie.

Ah oui ça c’est une info ! Je n’y aurai jamais pensé ! Merci ! Je vais me renseigner !