Projet

Général

Profil

Actions

Bug #329

fermé

Pb de certificats sur l'applet de Drag'n'Drop

Ajouté par François Cedelle il y a plus de 14 ans. Mis à jour il y a plus de 14 ans.

Statut:
Closed
Priorité:
Urgent
Assigné à:
Début:
23/04/2010
Echéance:
% réalisé:

0%

Temps estimé:
Navigateur:
Votre version de Silverpeas:
5.0
Système d'exploitation:
Linux
Votre base de données:
PostgreSQL
Livraison en TEST:
Livraison en PROD:

Description

Je reprends ici les problèmes déjà évoqués par mail.
2 pb identifiés :
- Une alerte de sécurité au chargement de l'applet, lié à un certificat non renouvelé coté silverpeas (cette alerte peut être acceptée une fois pour toute en cochant "Toujours faire confiance")
- Une seconde alerte de sécurité java, à l'import de fichier.

Je donne le détail de la procédure :

Je veux déposer un fichier sur Silverpeas, je clique donc sur "Pour déposer rapidement un fichier...".

L'applet commence à s'ouvrir, et là je reçois un premier avertissement :

Java a découvert des composants d'application pourraient présenter un risque de sécurité.
Nom : Silverpeas Dran And Drop
Bloquer l'exécution des composants potentiellement dangereux ? (recommandé)

Alors bien prudemment, je dis que je veux bloquer les composants potentiellement dangereux.
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.

Damned, s'il me cause en anglais, ça doit être grave ! :

Invalid Certificate
The security certificate on this server is not valid or has expired. Do you wish to continue ?

Après un assez gros effort de traduction, toujours prudent, je réponds non...
Il n'a pas l'air content :

An error Was Encountered
javax.net.ssl.SSLHandShakeExecption:java.security.cert.CertificateExeptio: Untrusted Server Certificate Chain

Puisqu'il y a un seul bouton, je clique dessus... et je ne suis pas très surpris de l'échec de ma tentative de dépôt de fichier.

Bon, je recommence... J'ai réussi à comprendre le message en anglais... Je sais un peu ce qu'est un certificat... J'aurais bien aimé qu'il me le présente... Mais allez, je me lance : je dis que je veux continuer. Et là, ça marche, malgré ma volonté de bloquer les composants potentiellement dangereux.

Je suis peut-être habité par une curiosité malsaine... je voudrais bien savoir ce qui se passe si je ne bloque pas les composants potentiellement dangereux...
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.
Il m'affiche exactement le même message. Si je réponds que je ne veux pas continuer, il m'affiche la même erreur et échoue.
Si je réponds que je veux continuer, ça marche.

Le fonctionnement est exactement identique, que je dise de bloquer ou de ne pas bloquer. Ce n'était pas la peine de poser la question !

----------
Maintenant, voici ce que nous avons fait et échangé avec l'équipe système et l'équipe réseau/sécurité :
- Le passage au certificat TERENA date du 26 février 2010, ce qui semble correspondre au début des problèmes
- Voici l'URL, avec les certificats des autorités qui constituent la chaine de certification pour les certificats délivrés par l'autorité TERENA : http://www.renater.fr/spip.php?article738
- Les 3 certificats des autorités liées ont été ajoutés dans le keystore java utilisé par Silverpeas (/usr/lib/j2sdk1.6-sun/jre/lib/security/cacerts) tel qu'il est configuré dans systemSettings.properties

Nous avons toujours les mêmes problèmes.


Fichiers

capture_ssl2.cap (5,7 ko) capture_ssl2.cap Capture réseau de la transaction François Cedelle, 26/04/2010 10:09

Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans

La chaine de certificats doit être valide sur le poste client (celui qui a ouvert le navigateur) pas coté serveur.
Est ce que les opérations ont bien été réalisées sur le poste client ?

Mis à jour par François Cedelle il y a plus de 14 ans

Il me semble impossible de faire ajouter les 3 certificats coté client sur l'ensemble de nos postes...

Il n'y a pas solutions coté serveur ?

Question : dans systemSettings.properties j'indique un keystore dans lequel j'ai ajouté tous les cert qui vont bien. Mais comment savoir si jboss l'utilise bien ?
En effet, dans la conf jboss je trouve :
/usr/share/jboss403# grep -ri keystoreFile ./*
./server/silverpeas/deploy/jbossweb-tomcat55.sar/server.xml: keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"

Le fichier chap8.keystore n'existe pas. Normal docteur ?

Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans

En fait l'erreur vient de l'applet qui essaye d'ouvrir une connexion SSL vers le serveur et c'est elle qui doit faire confiance au certificat du serveur. Il faut donc que l'applet puisse trouver l'autorité de certification, et pour cela elle se base sur le trustore de la JVM sur laquelle elle s'exécute : c'est à dire la JRE du poste client.
Il doit être possible de désactiver la validation du certificat dans l'applet (en tout cas cela est le cas dans l'applet libre vers laquelle nous envisageons de migrer).

Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans

  • Statut changé de New à Resolved
  • Version cible mis à Version 5.1.2
  • Votre version de Silverpeas mis à 5.0
  • Votre base de données mis à PostgreSQL

L'utilisation de JUpload devrait permettre de contourner ce problème

Mis à jour par Emmanuel Hugonnet il y a plus de 14 ans

  • Statut changé de Resolved à Closed
Actions

Formats disponibles : Atom PDF