Project

General

Profile

Actions

Bug #329

closed

Pb de certificats sur l'applet de Drag'n'Drop

Added by François Cedelle over 11 years ago. Updated over 11 years ago.

Status:
Closed
Priority:
Urgent
Start date:
04/23/2010
Due date:
% Done:

0%

Estimated time:
Navigateur:
Votre version de Silverpeas:
5.0
Système d'exploitation:
Linux
Votre base de données:
PostgreSQL
Livraison en TEST:
Livraison en PROD:

Description

Je reprends ici les problèmes déjà évoqués par mail.
2 pb identifiés :
- Une alerte de sécurité au chargement de l'applet, lié à un certificat non renouvelé coté silverpeas (cette alerte peut être acceptée une fois pour toute en cochant "Toujours faire confiance")
- Une seconde alerte de sécurité java, à l'import de fichier.

Je donne le détail de la procédure :

Je veux déposer un fichier sur Silverpeas, je clique donc sur "Pour déposer rapidement un fichier...".

L'applet commence à s'ouvrir, et là je reçois un premier avertissement :

Java a découvert des composants d'application pourraient présenter un risque de sécurité.
Nom : Silverpeas Dran And Drop
Bloquer l'exécution des composants potentiellement dangereux ? (recommandé)

Alors bien prudemment, je dis que je veux bloquer les composants potentiellement dangereux.
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.

Damned, s'il me cause en anglais, ça doit être grave ! :

Invalid Certificate
The security certificate on this server is not valid or has expired. Do you wish to continue ?

Après un assez gros effort de traduction, toujours prudent, je réponds non...
Il n'a pas l'air content :

An error Was Encountered
javax.net.ssl.SSLHandShakeExecption:java.security.cert.CertificateExeptio: Untrusted Server Certificate Chain

Puisqu'il y a un seul bouton, je clique dessus... et je ne suis pas très surpris de l'échec de ma tentative de dépôt de fichier.

Bon, je recommence... J'ai réussi à comprendre le message en anglais... Je sais un peu ce qu'est un certificat... J'aurais bien aimé qu'il me le présente... Mais allez, je me lance : je dis que je veux continuer. Et là, ça marche, malgré ma volonté de bloquer les composants potentiellement dangereux.

Je suis peut-être habité par une curiosité malsaine... je voudrais bien savoir ce qui se passe si je ne bloque pas les composants potentiellement dangereux...
L'applet affiche "Mode Normal", et j'essaye de déposer mon fichier.
Il m'affiche exactement le même message. Si je réponds que je ne veux pas continuer, il m'affiche la même erreur et échoue.
Si je réponds que je veux continuer, ça marche.

Le fonctionnement est exactement identique, que je dise de bloquer ou de ne pas bloquer. Ce n'était pas la peine de poser la question !

----------
Maintenant, voici ce que nous avons fait et échangé avec l'équipe système et l'équipe réseau/sécurité :
- Le passage au certificat TERENA date du 26 février 2010, ce qui semble correspondre au début des problèmes
- Voici l'URL, avec les certificats des autorités qui constituent la chaine de certification pour les certificats délivrés par l'autorité TERENA : http://www.renater.fr/spip.php?article738
- Les 3 certificats des autorités liées ont été ajoutés dans le keystore java utilisé par Silverpeas (/usr/lib/j2sdk1.6-sun/jre/lib/security/cacerts) tel qu'il est configuré dans systemSettings.properties

Nous avons toujours les mêmes problèmes.


Files

capture_ssl2.cap (5.7 KB) capture_ssl2.cap Capture réseau de la transaction François Cedelle, 04/26/2010 10:09 AM
Actions #2

Updated by Emmanuel Hugonnet over 11 years ago

La chaine de certificats doit être valide sur le poste client (celui qui a ouvert le navigateur) pas coté serveur.
Est ce que les opérations ont bien été réalisées sur le poste client ?

Actions #3

Updated by François Cedelle over 11 years ago

Il me semble impossible de faire ajouter les 3 certificats coté client sur l'ensemble de nos postes...

Il n'y a pas solutions coté serveur ?

Question : dans systemSettings.properties j'indique un keystore dans lequel j'ai ajouté tous les cert qui vont bien. Mais comment savoir si jboss l'utilise bien ?
En effet, dans la conf jboss je trouve :
/usr/share/jboss403# grep -ri keystoreFile ./*
./server/silverpeas/deploy/jbossweb-tomcat55.sar/server.xml: keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"

Le fichier chap8.keystore n'existe pas. Normal docteur ?

Actions #4

Updated by Emmanuel Hugonnet over 11 years ago

En fait l'erreur vient de l'applet qui essaye d'ouvrir une connexion SSL vers le serveur et c'est elle qui doit faire confiance au certificat du serveur. Il faut donc que l'applet puisse trouver l'autorité de certification, et pour cela elle se base sur le trustore de la JVM sur laquelle elle s'exécute : c'est à dire la JRE du poste client.
Il doit être possible de désactiver la validation du certificat dans l'applet (en tout cas cela est le cas dans l'applet libre vers laquelle nous envisageons de migrer).

Actions #5

Updated by Emmanuel Hugonnet over 11 years ago

  • Status changed from New to Resolved
  • Target version set to Version 5.1.2
  • Votre version de Silverpeas set to 5.0
  • Votre base de données set to PostgreSQL

L'utilisation de JUpload devrait permettre de contourner ce problème

Actions #6

Updated by Emmanuel Hugonnet over 11 years ago

  • Status changed from Resolved to Closed
Actions

Also available in: Atom PDF