Ubuntu-fr

jibe

Thunderbird et expiration de certificat Orange

Salut,

Je ne sais pas si je m'y prends mal avec Google, mais je ne parviens pas à trouver de solution à un problème tout bête de fin de validité de certificat : je ne trouve que des solutions de contournement !

Le problème est simple et me semblait bête et classique : j'ai dans mon thunderbird un compte qui accède en IMAP à ma BAL Orange, en SSL/TLS. Le certificat est arrivé à expiration, et thunderbird me le signale : jusque là, tout semble normal !

Là où ça l'est moins, c'est que je n'arrive pas à trouver comment renouveler ce certificat... Google me donne un tas d'astuces du genre changer ma date système (sûr que ce sera efficace, mais bon !!!!) ou accepter l'exception de sécurité proposée par Thunderbird.

Je voudrais tout simplement renouveler ce certificat et en obtenir un nouveau dont la date d'expiration est dans le futur... Il doit pourtant bien y avoir un moyen de le faire ???

Versions : Ubuntu Lucid Lynx, Thunderbird 3.1.10
Le poste est en réseau derrière une SME qui sert de passerelle (le NATing peut-il empêcher le renouvellement de certificat ?), thunderbird récupère les mails directement sur imap.orange.fr:993

Ah : encore une chose. Le certificat provient de Verisign, mais en consultant les certificats de Thunderbird, aucun certificat Verisign n'a de date d'expiration au 2-07, date donnée pour le certificat expiré d'Orange ???

---

Il y a deux manières de paraitre supérieur : en montrant sa valeur ou en dévalorisant les autres.

JoelS

Re : Thunderbird et expiration de certificat Orange

J'ai pas compris: le certificat dont tu parles est le certificat que tu utilises pour t'authentifier auprès du serveur IMAP d'Orange, ou bien c'est le certificat serveur qu'envoie le serveur IMAP d'Orange pour établir la connection SSL/TLS ?

Si c'est ce dernier cas, et j'ai cru comprendre que c'est le cas, tu ne peux pas renouveler ce certificat, car il provient du serveur. La seule chose que tu peux faire, c'est effectivement d'ajouter une exception de sécurité. En gros tu dis à ThunderBird, ce certificat est pourri, il sent pas bon, il est tout moche, mais je sais qu'il est quand même valide.

Dans le premier cas, il faut que tu redemandes un nouveau certificat d'authentification à ton fournisseur. On ne peux pas prolonger la durée de vie d'un certificat.

Pour la différence entre les dates des certificats de VeriSign et celui d'Orange, c'est normal: les dates donnent la durée de vie du certificat en lui même, pas de ceux qu'il va signer et valider.

jibe

Re : Thunderbird et expiration de certificat Orange

J'ai pas compris: le certificat dont tu parles est le certificat que tu utilises pour t'authentifier auprès du serveur IMAP d'Orange, ou bien c'est le certificat serveur qu'envoie le serveur IMAP d'Orange pour établir la connection SSL/TLS ?

Très bonne question...

Du coup, tu me mets un doute, là... Et je crois que j'ai un peu mélangé les deux : j'étais plutôt parti dans l'idée que c'était le premier, mais ça doit bien être le second...

Ce qui me surprend un peu, c'est que c'est une BAL que j'ai ouverte il y a un an... Pourquoi le certificat démarre-t-il quand je l'ai ouverte, pour une validité d'un an exactement ?

---

Il y a deux manières de paraitre supérieur : en montrant sa valeur ou en dévalorisant les autres.

JoelS

Re : Thunderbird et expiration de certificat Orange

Coïncidence ? Le certificat est rattaché au serveur IMAP, pas à un compte donné. En SSL/TLS, c'est quand la connexion réseau s'établit que le serveur renvoie le certificat (plus exactement, en SSL c'est quand la connexion réseau s'établit, en TLS c'est quand le client et le serveur se sont mis d'accord après la poignée de main protocolaire). Le serveur ne peut pas connaître le compte qui va être utilisé avant d'envoyer le certificat. D'ailleurs s'il le connaissait, il faudrait alors un certificat serveur par compte et la bonjour le nombre de fichiers!!!!

Sinon par rapport à tes images, pas la peine de flouter les infos, en fait un certificat public est ...public, donc tout le monde peut lire ces informations sans problème.

jibe

Re : Thunderbird et expiration de certificat Orange

Salut,

Oui, et alors ? Ça veut donc bien dire que c'est le certificat envoyé par le serveur, et que je n'y peux rien d'autre que mettre l'exception de sécurité ?

C'est quand même surprenant qu'Orange utilise des certificats valables seulement un an et ne les renouvelle pas en temps utile...

Bon, tu me diras si je fais une bêtise, mais je vais mettre l'exception de sécurité... Merci pour ton aide et tes explications

---

Il y a deux manières de paraitre supérieur : en montrant sa valeur ou en dévalorisant les autres.

el cameleon

Re : Thunderbird et expiration de certificat Orange

LE mieux serait de contacter Orange si ils ne corrigent pas rapidement la situation, la balle est dans leur camp!

---

Ubuntiste depuis mars 2009 avec un portable Dell 1525N