Firefox et sa gestion des certificats

Bien le bonjour,

J’ai un domaine Windows avec une autorité de certification dans le domaine. J’émets donc des certificats pour mes serveurs Web à partir de cette autorité de certification, certificats qui sont reconnus comme parfaitement valides sous IE ou chrome, mais pas sous Firefox.

En parcourant le grand Internet, j’ai trouvé cet instructif rapport de bug qui dit que Firefox ne s’appuie pas sur l’OS pour gérer les certificats, et qu’il possède son propre magasin de certificats.
(Personnellement je trouve ça complètement con, ce ne devrait pas être au navigateur de prendre en charge ce genre de choses mais à l’OS qu’il soit Windows, Linux ou Mac)

Comme Firefox possède son propre magasin de certificats, il ne va pas lire celui de Windows qui contient le certificat racine de l’autorité du domaine, ce qui rend invalides tous mes certificats de serveurs Web sous Firefox puisqu’évidemment il ne peut pas trouver d’où ils sont issus.

On peut bien sûr importer le certificat racine dans le magasin de certificats de Firefox, mais je voudrais bien savoir comment on peut automatiser la chose, surtout que lorsque le certificat racine sera renouvelé il faudra à nouveau l’importer dans tous les profils Firefox.

M’sieurs-dames, une idée ?

Si j’ai bien compris la base de certificats racine est hardcodée dans Firefox. Càd que si tu supprimes la base de certificats, puis que tu redémarres Firefox, apparemment il la recrée mais pas à partir de ceux du système. Tu peux faire un fork de Firefox que tu recompiles avec ton certificat racine déjà dans le store hardcodé. Ca ne marche que si c’est toi qui distribues ton Firefox (c’est ce qui est fait là où je bosse pour des clés USB sécurisées à destination de clients).

Sinon, avec une GPO, tu déploies ça sur ton parc. Ca a l’air de faire le taf.

Merci pour vos réponses ! Je pense que je vais m’orienter vers la GPO, ça m’évite de casser les magasins de certificats des utilisateurs déjà existants.

Légère diversion : avec les problèmes causés par Lenovo, tu pourrais presque être content de la façon dont Firefox les gère. :wink: