Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Cryptologie Verisign sont vraiments balezes

Verisign sont vraiments balezes

7 réponses
Avatar
kwame
Salut a tous,

Bon alors la il viens d'arriver un truc relativement marrant,
j'ai envoye un CSR a verifign pour un client, et ils ont signe
avec une clef prive dont le certificat est plus valide !

Baleze chez verisign ! On comprend mieux l'interet des certificats quand on voit
comment ils les gerent alors je vous le fournis en copie ici.

Quand on pense en plus que tous l'interet d'une CA c'est de la faire confiance !
Et ben moi la confiance elle regne un peut moins !

Pour ceux qui regardent bien, la date de validite du certificat est bonne, mais
si vous aller chercher la date de validite du certificat verign et ben elle est
pas bonne.

pour ceux qui veulent aller le voir c'est sur

https://extranet.agglo-valdebievre.fr
Signaler un problème avec ce contenu

7 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Ludovic FLAMENT
Erwan David wrote:
Ben mon browser n'a pas le certificat de verisign (sans doute parceque
le browser date d'après l'expiration du certificat).


Pour ma part, j'ai bien toute la chaîne de certificats dans mon
browser et effectivement le certificat intermédiaire qui a signé le
certificat serveur est expiré depuis le 8 Janvier 2004 ! A noter que le
certificat racine est toujours valide

Voici le détail du certificat en question :

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
23:6c:97:1e:2b:c6:0d:0b:f9:74:60:de:f1:08:c3:c3
Signature Algorithm: md2WithRSAEncryption
Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary
Certification Authority
Validity
Not Before: Apr 17 00:00:00 1997 GMT
Not After : Jan 7 23:59:59 2004 GMT
Subject: O=VeriSign Trust Network, OU=VeriSign, Inc.,
OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS
Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
...
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE, pathlen:0
X509v3 Key Usage:
Certificate Sign, CRL Sign
Netscape Cert Type:
SSL CA, S/MIME CA
X509v3 Extended Key Usage:
2.16.840.1.113733.1.8.1, Netscape Server Gated Crypto
X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.1.1
CPS: https://www.verisign.com/CPS
User Notice:
Organization: VeriSign, Inc.
Number: 1
Explicit Text: VeriSign's Certification Practice
Statement, www.verisign.com/CPS, governs this certificate & is
incorporated by reference herein. SOME WARRANTIES DISCLAIMED & LIABILITY
LTD. (c)1997 VeriSign
Signature Algorithm: md2WithRSAEncryption
...

--
Ludovic FLAMENT
http://ludovic.flament.free.fr


Avatar
Erwann ABALEA
Bonsoir,

On Mon, 9 May 2005, kwame wrote:

Pour ceux qui regardent bien, la date de validite du certificat est bonne, mais
si vous aller chercher la date de validite du certificat verign et ben elle est
pas bonne.


Et pour ceux qui savent lire l'anglais, VeriSign fournit une procédure à
suivre pour installer le nouveau certificat intermédiaire sur le serveur
web... Cette aide est fournie pendant la procédure d'enrôlement ou de
récupération du certificat, et elle est disponible ici:
http://www.verisign.com/support/verisign-intermediate-ca/secure-site-pro-intermediate/index.html

--
Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5
-----
Je souhaiterais passer à LINUX mais je suis complètement
paumé. Dois-je changé de FAI ?
-+- O.S. in GNU : Bien choisir son fournisseur d'accès à Linux -+-

Avatar
Erwann ABALEA
On Mon, 9 May 2005, Erwan David wrote:

pour ceux qui veulent aller le voir c'est sur

https://extranet.agglo-valdebievre.fr


Ben mon browser n'a pas le certificat de verisign (sans doute parceque
le browser date d'après l'expiration du certificat).


Non, parce que c'est au serveur de le fournir, et donc à l'administrateur
de configurer correctement son serveur...
Même sur un Mozilla récent, ou un IE récent, tu n'auras pas ce certificat
intermédiaire.

--
Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5
-----
Tu viens donc de traiter 120 votants de neuneux.
Note que je suis d'accord avec toi, mais sache que cette position est
relativement technique à assumer avec style, petit scarabée.
-+- TP in GNU : Le style c'est l'homme, le reste est neuneueterie -+-


Avatar
Jean-Marc Desperrier
Ludovic FLAMENT wrote:
Erwan David wrote:
Ben mon browser n'a pas le certificat de verisign (sans doute parceque
le browser date d'après l'expiration du certificat).


Pour ma part, j'ai bien toute la chaîne de certificats dans mon
browser et effectivement le certificat intermédiaire qui a signé le
certificat serveur est expiré depuis le 8 Janvier 2004 ! A noter que le
certificat racine est toujours valide


Non, Ludo, tu sais très bien pour certains certificats arrivant à
expiration, Verisign se contente de les réemettre avec une date de
validité augmentée en gardant la même paire de clé, c'est simplement ce
qui s'est passé ici.

La raison pour laquelle cela pose un problème est que le serveur web est
mal configuré. Il devrait renvoyer aux client en plus de son propre
certificat le bon certificat intermédiaire. Je crois que s'il avait été
configuré conformément aux instructions de Verisign cela serait le cas.
En tout cas, Verisign indique ici le certificat intermédiaire qu'il faut
mettre dans la config :
http://www.verisign.com/support/verisign-intermediate-ca/secure-site-pro-intermediate/index.html
Il est valable jusqu'en 2011.

Le manque de ce certificat dans la config du server conduit le client
soit à ne pas pouvoir valider, soit à prendre à la place le premier
qu'il trouve en local, au risque que ce soit une version expirée.

Par ailleurs, je constate que pour les certificats ordinaires Verisign a
résolu le problème en changeant légèrement l'OU, ce qui a permit du coup
de passer à une clé de 2048. C'est seulement pour leurs certificats '128
bits' qu'ils ont apparement des contraintes qui les empèchent de faire
cela, et leur font risquer ce genre de gag.
Une raison de plus de prendre un certif normal.


Avatar
Ludovic FLAMENT
Jean-Marc Desperrier wrote:
Ludovic FLAMENT wrote:

Erwan David wrote:

Ben mon browser n'a pas le certificat de verisign (sans doute parceque
le browser date d'après l'expiration du certificat).



Pour ma part, j'ai bien toute la chaîne de certificats dans mon
browser et effectivement le certificat intermédiaire qui a signé le
certificat serveur est expiré depuis le 8 Janvier 2004 ! A noter que
le certificat racine est toujours valide



Non, Ludo, tu sais très bien pour certains certificats arrivant à
expiration, Verisign se contente de les réemettre avec une date de
validité augmentée en gardant la même paire de clé, c'est simplement ce
qui s'est passé ici.


Salut Jean-Marc,

Je te promets qu'il est vraiment expiré celui que j'ai ;-)

Par contre, je suis effectivement d'accord sur le fait que c'est à la
base un problème d'installation/configuration des certificats sur le
serveur.

Le serveur doit transmettre le(s) certificat(s) intermédiaire(s)
valide(s). Cela est indispensable dans la mesure où tous les navigateurs
ne possèdent pas toutes les autorités intermédiaires (c'est par exemple
le cas pour Erwan David dont le browser ne possède pas l'autorité dont
on parle ici) et dans son cas qu'elle soit valide ou non ne change rien
car le navigateur est incapable de remonter toute la chaîne de
certification.

--
Ludovic FLAMENT
http://ludovic.flament.free.fr




Avatar
jcchr
Bruno Tréguier a écrit le 20/03/2010 à 15h33 :
Le 20/03/2010 à 14:35, jcchr a écrit :
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je
vais
sur des sites confidentiels (banque, paiements,...) une zone bleue
apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le
message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude




Bonjour,

Cette zone bleue, ou cette barre verte, ou autre (selon les navigateurs)
est là pour vous rassurer, normalement. ;-) Elle est le signe que le
certificat SSL qui protège le site auquel vous vous connectez est de
type "EV" (Extended Validation).

Officiellement:

Les certificats EV certifient que l'identité du site et de ses
dirigeants a fait l'objet de vérifications particulièrement
draconiennes, c'est donc normalement un gage de sérieux. Cela donnant
(toujours officiellement) beaucoup plus de travail à l'autorité
de
certification qui le délivre, il est logique que ce type de certificat
soit beaucoup plus cher (facteur 3 environ) qu'un certificat
"classique". Les navigateurs, en présence de ce type de
certificat, sont
aussi censés n'utiliser que des chiffrements dits "forts". Une
tentative
de négociation d'une longueur de clef insuffisante (genre 40 ou 56 bits)
ne devrait donc pas aboutir.

En cas de sinistre (compromission de l'AC ou autre), le dédommagement
lié à un certif EV est bien entendu beaucoup plus important, mais
ce
n'est pas vraiment ça qui compte au niveau de la décision de se
tourner
vers ce type de produit.


Officieusement:

Il s'agit essentiellement, tel que je le vois, d'un argument marketing:
Mme Michu voit une belle barre verte, elle est rassurée (vert ou bleu =
gentil, orange ou rouge = méchant ;-) ), et elle achète sa
nouvelle
batterie de cuisine avec un crédit sur 15 ans sur le site de
Confogéant,
alors que sur le site de Ikéarrefour, ils avaient pas la barre verte,
ces ringards...

Du coup, pour commercialiser quelque chose sur Internet, désormais, ce
petit détail devient quasiment une obligation de fait.

Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser. J'ai vu ce qu'était une vérif de certificat SSL
classique,
et une vérif SSL EV, ça ne m'a pas semblé bien
différent (mais je n'ai
peut-être pas tout vu). J'ai même eu moins de problèmes avec
l'EV cette
fois-ci que pour un classique il y a quelques années, notre organisme
étant en "liste rouge" dans les bases SIRENE...

Quant à l'enlever, cette barre, ou cette zone, je ne suis pas sûr
que ce
soit possible: c'est pour votre bien, alors... ;-)

Cordialement,

Bruno


Merci de votre réponse et surtout de vos explications.
Toutefois, à vos dires, je ne pense pas qu'elle ce soit tout-à-fait légale cette fonction "pour notre bien".
Car, comme le disait très justement un coureur célèbre: on n'a pas le droit de nous injecter quoi que ce soit "à l'insu de notre plein gré".
Donc, si quelqu'un pouvais me donner les "tuyaux" nécessaires pour identifier le site auteur de cela, afin de les contacter et leur demander le processus de désinstallation.
Au fait, sur le navigateur Windows, la fenêtre est verte....
Merci d'avance
Jean-Claude
Avatar
jcchr
GuiGui a écrit le 20/03/2010 à 15h28 :
jcchr a écrit :
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je
vais
sur des sites confidentiels (banque, paiements,...) une zone bleue
apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le
message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude





C'est venu par une mise à jour de ton navigateur. Ça peut se
supprimer
en réinstallant une vieille version du navigateur.


Bonjour,

Plutôt que d'installer une ancienne version, est-il possible de connaître le nom du programme ou application complémentaire à détruire pour désinstaller cette fonction parasite?
Merci d'avance.
jean-Claude