Commerce en ligne et certificats invalide (avec Firefox)

Le
Christophe Raverdy
Bonjour.

ayant besoin de procéder à des achats en ligne j'ai été sur un site, mais au
moment de passer en mode sécurisé firefox meugle en m'affichant le message
d'erreur suivant :

==

Échec de la connexion sécurisée

www.XXXXX.fr utilise un certificat de sécurité invalide.

Le certificat n'est pas sûr car l'autorité délivrant le certificat est
inconnue.

(Code d'erreur : sec_error_unknown_issuer)

==

En poursuivant j'obtiens plus d'informations à savoir :

==

Ce site essaye de s'identifier avec des informations invalides
Le certificat n'est pas sur car il n'a pas été vérifié par une autorité
reconnue.

émis
pour L'unité d'organisation (OU) est Atos Worldline
par l'unité d'organsisation (OU) VeriSign Trust Network
émis le 18/01/2008 expire le 13/02/2009

==



L'adresse est référencée sur google, d'autre part le site de la maison-mère
renvoie sur ce site.

Le whois me donne des informations générales qui sont cohérentes avec le
site ainsi que des informations techniques (ns et mainteneur) qui sont
cohérentes entre elles. A noter que Le ns du domaine renvoie sur un site
situé en France (completel)


Mes questions sont donc les suivantes :

- Peut-on configurer firefox pour que Verisign soit considéré comme une
autorité reconnue ?

- Quelles autres vérifications (quels outils ?) pour réduire le risque ?

- Qui prévenir quand ce type d'erreur survient (si l'erreur provient du
site commerçant) ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Denis Beauregard
Le #11123081
Le Sun, 18 May 2008 19:53:48 +0200, Christophe Raverdy
fr.comp.infosystemes.www.navigateurs:

Mes questions sont donc les suivantes :

- Peut-on configurer firefox pour que Verisign soit considéré comme une
autorité reconnue ?

- Quelles autres vérifications (quels outils ?) pour réduire le risque ?

- Qui prévenir quand ce type d'erreur survient (si l'erreur provient du
site commerçant) ?




Je pense qu'en général, cela arrive parce que le commerçant ou
l'hébergeur ne veut pas payer pour un certificat à jour. Cela
impliquerait alors que c'est un petit commerce qui réduit ses
coûts au minimum. Il s'agit alors de voir si cela correspond bien
à ce type de commerce.


Denis
Christophe Raverdy
Le #11123071
Denis Beauregard wrote:

Je pense qu'en général, cela arrive parce que le commerçant ou
l'hébergeur ne veut pas payer pour un certificat à jour. Cela
impliquerait alors que c'est un petit commerce qui réduit ses
coûts au minimum. Il s'agit alors de voir si cela correspond bien
à ce type de commerce.



J'y avais pensé (j'ai fait quelques recherches en ligne juste avant). Il se
trouve qu'il s'agit d'un cybermarché derrière lequel on trouve une très
grosse enseigne qui a pignon sur rue. Je ne le cite pas pour ne pas faire
de publicité.

Ce qui me surprend c'est que firefox me présente le certificat non
expiré "signé par VeriSign" en me prétendant qu'il ne connait pas cette
autorité.
Mickaël Wolff
Le #11123061
Christophe Raverdy a écrit :
Ce qui me surprend c'est que firefox me présente le certificat non
expiré "signé par VeriSign" en me prétendant qu'il ne connait pas cette
autorité.



C'est peut-être le message d'erreur qui est maladroit. Le soucis est
qu'il y a un problème de sécurité important, dû à la maladresse d'un
mainteneur de paquet Debian. Ça impact l'ensemble des certificats SSL,
pour peux qu'ils aient pu être générés depuis une clé impactée par le
problème. De ce fait, de nombreux certificats de sécurité vont être
révoqués.

À mon avis, c'est le message d'erreur qui devrait apparaître dans ton
Firefox : « le certificat de sécurité a été révoqué ».

--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org
Jean-Marc Desperrier
Le #11122961
Christophe Raverdy wrote:
[...]
J'y avais pensé (j'ai fait quelques recherches en ligne juste avant). Il se
trouve qu'il s'agit d'un cybermarché derrière lequel on trouve une très
grosse enseigne qui a pignon sur rue. Je ne le cite pas pour ne pas faire
de publicité.



Euh, il suffit de lire le nom du lien pour reconnaître l'un des plus
grand nom de la distribution française, deuxième sur le secteur des
cybermarchés.

Ce qui me surprend c'est que firefox me présente le certificat non
expiré "signé par VeriSign" en me prétendant qu'il ne connait pas cette
autorité.



Le certificat contient une valeur, Firefox te l'affiche.
Firefox n'arrive pas à remonter du certificat vers une des autorité de
confiance, il t'indique le certificat comme inconnu.
Comportement classique, mais effectivement peu clair.

Sinon, la nature du problème est elle aussi classique : Le serveur web
est mal configuré, et IE sur une plate-forme vierge plantera de la même
manière.
Le certificat du site est émis par "VeriSign Class 3 Secure Server CA",
qui lui même est émis par la racine "VeriSign Class 3 Public Primary
Certification Authority", mais le site n'a pas été configuré pour
envoyer ce certificat "VeriSign Class 3 Secure Server CA" au navigateur,
qui ne pourra faire la vérification que s'il en dispose déjà en local.
IE le garde en stock localement la première fois qu'il le voit, Firefox
ne le fait pas.

Verisign parle de ce problème ici :
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657

Ils indiquent comment corriger la configuration dans le cas d'IIS sur la
page suivante :
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=S:SO6170&actp=search&searchid11209295385

A défaut, on peut installer ce certificat manuellement dans Firefox :
http://www.verisign.com/support/verisign-intermediate-ca/secure-site-intermediate/index.html
(l'enregistrer dans un fichier .cer, puis le "drap-and-droper" dans Firefox)
Publicité
Poster une réponse
Anonyme