Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 29/08/2017, à 18:20

QLSVB

[RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Bonjour,

Pour ma société je dois accéder à un site internet. Le problème est que lorsque je vais sur le lien, j’obtiens ce message d'erreur: SSL_ERROR_HANDSHAKE_FAILURE_ALERT

J'ai donc testé avec chromium, mais j'obtient le même résultat.

En faisant des recherches, j'ai trouvé qu'il faut installer un certificat de sécurité P12 sur firefox. Le problème est qu'il s'agit souvent d'explication pour une version windows et les quelques éléments que j'ai trouvé pour Linux, sont incompréhensible pour le débutant que je suis.

Si quelqu'un aurait une explication simple, ça serait vraiment top! smile

Dernière modification par QLSVB (Le 29/08/2017, à 20:59)

Hors ligne

#2 Le 29/08/2017, à 18:40

Vobul

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Salut,

Pour importer un certificat avec Firefox:

Préférences > Avancé > Certificats > Voir les certificats > Import. Et là tu choisis le fichier PKCS#12 (.p12).

Mais c'est pas commun ce genre de choses…

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 29/08/2017, à 19:09

QLSVB

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Merci pour le chemin. Je n'arrive pas à trouver un fichier portant ce nom... Il y en a tout plein, mais ils portent tous un nom lié à une société ou autre.
Est-ce que ça change quelque chose à la sécurité de mettre un certificat? Et sais tu si cette erreur peut être contournée différemment? Semblerait que se soit un problème lié au fait d'être sur Linux.

Hors ligne

#4 Le 29/08/2017, à 19:22

Vobul

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Non je t'assure, GNU/Linux n'a aucun problème avec TLS, SSL et tout le reste. Est-ce que ton entreprise t'a fourni un fichier ? Parce que si c'est pas le cas c'est sûr que tu peux rien importer.

Il y a quelques années, pour se logguer sur impots.gouv.fr il fallait fournir un certificat avec le navigateur qui t'identifiait. Est-ce qu'on parle de la même chose ici ou pas ? L'autre solution que je vois c'est un serveur configuré avec les pieds.

Ça donne quoi ça :

openssl s_client -connect example.societe.fr:443

?

Dernière modification par Vobul (Le 29/08/2017, à 20:28)

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#5 Le 29/08/2017, à 19:28

QLSVB

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Non elle ne m'a rien fournis. Je penche pour un serveur configurer avec les pieds. Le soucis c'est que d'autres utilisateurs y arrivent. Il s'agit dde l'accès pour un logiciel d'analyse en ligne que je vais utiliser à titre professionnel.

Le retour:

sieber@sieber-N24-25BU:~$ openssl s_client -conect example.societe.fr:443
unknown option -conect
usage: s_client args

 -host host     - use -connect instead
 -port port     - use -connect instead
 -connect host:port - who to connect to (default is localhost:4433)
 -verify_hostname host - check peer certificate matches "host"
 -verify_email email - check peer certificate matches "email"
 -verify_ip ipaddr - check peer certificate matches "ipaddr"
 -verify arg   - turn on peer certificate verification
 -verify_return_error - return verification errors
 -cert arg     - certificate file to use, PEM format assumed
 -certform arg - certificate format (PEM or DER) PEM default
 -key arg      - Private key file to use, in cert file if
                 not specified but cert file is.
 -keyform arg  - key format (PEM or DER) PEM default
 -pass arg     - private key file pass phrase source
 -CApath arg   - PEM format directory of CA's
 -CAfile arg   - PEM format file of CA's
 -no_alt_chains - only ever use the first certificate chain found
 -reconnect    - Drop and re-make the connection with the same Session-ID
 -pause        - sleep(1) after each read(2) and write(2) system call
 -prexit       - print session information even on connection failure
 -showcerts    - show all certificates in the chain
 -debug        - extra output
 -msg          - Show protocol messages
 -nbio_test    - more ssl protocol testing
 -state        - print the 'ssl' states
 -nbio         - Run with non-blocking IO
 -crlf         - convert LF from terminal into CRLF
 -quiet        - no s_client output
 -ign_eof      - ignore input eof (default when -quiet)
 -no_ign_eof   - don't ignore input eof
 -psk_identity arg - PSK identity
 -psk arg      - PSK in hex (without 0x)
 -srpuser user     - SRP authentification for 'user'
 -srppass arg      - password for 'user'
 -srp_lateuser     - SRP username into second ClientHello message
 -srp_moregroups   - Tolerate other than the known g N values.
 -srp_strength int - minimal length in bits for N (default 1024).
 -ssl2         - just use SSLv2
 -ssl3         - just use SSLv3
 -tls1_2       - just use TLSv1.2
 -tls1_1       - just use TLSv1.1
 -tls1         - just use TLSv1
 -dtls1        - just use DTLSv1
 -fallback_scsv - send TLS_FALLBACK_SCSV
 -mtu          - set the link layer MTU
 -no_tls1_2/-no_tls1_1/-no_tls1/-no_ssl3/-no_ssl2 - turn off that protocol
 -bugs         - Switch on all SSL implementation bug workarounds
 -cipher       - preferred cipher to use, use the 'openssl ciphers'
                 command to see what is available
 -starttls prot - use the STARTTLS command before starting TLS
                 for those protocols that support it, where
                 'prot' defines which one to assume.  Currently,
                 only "smtp", "pop3", "imap", "ftp" and "xmpp"
                 are supported.
 -engine id    - Initialise and use the specified engine
 -rand file:file:...
 -sess_out arg - file to write SSL session to
 -sess_in arg  - file to read SSL session from
 -servername host  - Set TLS extension servername in ClientHello
 -tlsextdebug      - hex dump of all TLS extensions received
 -status           - request certificate status from server
 -no_ticket        - disable use of RFC4507bis session tickets
 -serverinfo types - send empty ClientHello extensions (comma-separated numbers)
 -curves arg       - Elliptic curves to advertise (colon-separated list)
 -sigalgs arg      - Signature algorithms to support (colon-separated list)
 -client_sigalgs arg - Signature algorithms to support for client
                       certificate authentication (colon-separated list)
 -nextprotoneg arg - enable NPN extension, considering named protocols supported (comma-separated list)
 -alpn arg         - enable ALPN extension, considering named protocols supported (comma-separated list)
 -legacy_renegotiation - enable use of legacy renegotiation (dangerous)
 -use_srtp profiles - Offer SRTP key management with a colon-separated profile list
 -keymatexport label   - Export keying material using label
 -keymatexportlen len  - Export len bytes of keying material (default 20)
sieber@sieber-N24-25BU:~$

Hors ligne

#6 Le 29/08/2017, à 20:27

Vobul

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Nan mais remplace exemple.societe.fr avec la vraie adresse de ton site… Et y'a deux 'n' à connect, sma faute ça.

aa0378579a6701f9ab51a22660ff9b56.jpg

Dernière modification par Vobul (Le 29/08/2017, à 20:28)

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#7 Le 29/08/2017, à 20:35

QLSVB

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

big_smile Navré.

sieber@sieber-N24-25BU:~$ openssl s_client -connect desktop.braingroup.ch:443
CONNECTED(00000003)
depth=2 C = US, O = "thawte, Inc.", OU = Certification Services Division, OU = "(c) 2008 thawte, Inc. - For authorized use only", CN = thawte Primary Root CA - G3
verify return:1
depth=1 C = US, O = "thawte, Inc.", CN = thawte SHA256 SSL CA
verify return:1
depth=0 C = CH, ST = Zuerich, L = Zuerich, O = Braingroup AG, OU = Web Services, CN = *.braingroup.ch
verify return:1
140151363139224:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:s3_pkt.c:1487:SSL alert number 40
140151363139224:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
Certificate chain
 0 s:/C=CH/ST=Zuerich/L=Zuerich/O=Braingroup AG/OU=Web Services/CN=*.braingroup.ch
   i:/C=US/O=thawte, Inc./CN=thawte SHA256 SSL CA
 1 s:/C=US/O=thawte, Inc./CN=thawte SHA256 SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=CH/ST=Zuerich/L=Zuerich/O=Braingroup AG/OU=Web Services/CN=*.braingroup.ch
issuer=/C=US/O=thawte, Inc./CN=thawte SHA256 SSL CA
---
Acceptable client certificate CA names
/C=US/O=thawte, Inc./CN=thawte SHA256 SSL CA
/C=CH/L=Zurich/O=Braingroup/OU=Security Department/CN=Braingroup Certificate Authority
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3640 bytes and written 138 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: ADEDD1C40D808E7420AAA7B5E2D6E87E72FDCF0B23A713BD8F232FDDA7E81D5FAA78A5E75C103F62DFCF50190AA14441
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1504031690
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
sieber@sieber-N24-25BU:~$

Hors ligne

#8 Le 29/08/2017, à 20:54

Vobul

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

En effet, l'erreur provient du serveur. Pas du client (toi).

Et je confirme, il est pas super bien configuré : https://www.ssllabs.com/ssltest/analyze … Results=on (F c'est quand même pas top comme résultat…) Mais ça reste raisonnable quand même, y'a pire.

À lire : https://security.stackexchange.com/ques … ng-tls-1-2

À mon avis c'est à eux de régler le problème, pas à toi.

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#9 Le 29/08/2017, à 20:58

QLSVB

Re : [RESOLU]comment trouver et installer un certif. de sécurité pr firefox

Ok, je vais voir ce qu'ils me disent.

Merci beaucoup pour ton feed-back et pour le lien.

Hors ligne

Pages : 1