Vous êtes ici : Accueil > GEPI > Certificat SSL du serveur hébergant GEPI
Publié : 12 septembre 2013

Certificat SSL du serveur hébergant GEPI

Certificat SSL auto-signé et exception de sécurité

Pré-Introduction

Cet article n’avait normalement plus lieu d’être... jusqu’à ce que le renouvellement du certificat SSL dont la date de validité s’achevait le 18/10/2014 amène une mauvaise surprise.

L"Education Nationale (MENESR) nous avait fourni un certificat.
Il vient d’être renouvelé... avec un manque.
Le nom gepi.clg-lehameau-bernay.ac-rouen.fr manque dans le certificat qui couvre une série de noms DNS (clg-lehameau-bernay.ac-rouen.fr, note.clg-lehameau-bernay.ac-rouen.fr, lcs.clg-lehameau-bernay.ac-rouen.fr,...).
Ce manque provoque une alerte sécurité sur les navigateurs internet.
Nous avons demandé un certificat corrigé... mais il n’est pas encore arrivé.

Vous allez devoir confirmer que vous souhaitez bien vous rendre sur le site.
Les navigateurs internet n’ont pas tous la même façon de gérer cela.
Le plus pratique pour la situation est Mozilla Firefox
Il permet d’ajouter une exception de sécurité de façon définitive pour éviter d’avoir à chaque visite la même alerte.

L’article présente plus bas l’alerte et la façon de poursuivre avec les trois navigateurs :
- Mozilla Firefox
- Google Chrome
- Micro$oft Internet Explorer

Introduction

Depuis quelques années, les navigateurs se montrent plus regardants quant aux certificats SSL présentés par les sites Web.

Pour la suite, je prends l’exemple de Firefox.

Un certificat non signé par une autorité de certification pose un problème de confiance lors de l’accès à un site :

Est-ce que le site qui présente ce certificat est bien qui il prétend être ?

Si vous devez saisir votre numéro de carte bleue sur un site qui présente un certificat non confirmé par une autorité de certification, refusez l’accès.

Sinon, tout dépend de la confiance que vous faites au site.

Nous allons faire confiance au site lors de la première visite.

Une fois le certificat pris en compte sur Firefox, toute usurpation par un pirate de l’identité du serveur auquel vous aurez accédé une fois sera repérée par votre navigateur parce que l’usurpateur ne pourra pas présenter le même certificat que le premier serveur.

NOTES :

  • L’ajout d’une exception de sécurité doit être à peu près semblable avec d’autres navigateurs que Firefox. Firefox permet d’accepter définitivement le certificat alors que Google Chrome, par exemple, signalera à chaque visite que le site n’est pas sûr.
  • Voir son certificat confirmé par une autorité de certification représente un coût. En optant seulement pour un certificat auto-signé, on bénéficie quand même du chiffrage des échanges pour assurer la confidentialité sur le contenu des pages consultées. Le seul risque est celui d’une usurpation de l’identité du serveur lors de votre premier accès.

.

Avec Mozilla Firefox : Ajouter une exception de sécurité

Lors de l’accès au serveur, on obtient :

Cliquer sur le triangle devant "Je comprends les risques"

Cliquez ensuite sur "Ajouter une exception" :

Le navigateur signale que c’est un mauvais site parce que le certificat est généré pour gepi.clg-lehameau-bernay.ac-rouen.fr et que vous avez accédé au serveur clg-lehameau-bernay.ac-rouen.fr.
C’est sans importance.

Cocher "Conserver cette exception de façon permanente", puis cliquez sur "Confirmer l’exception de sécurité".

Ceci fait, le navigateur devrait vous donner accès à GEPI.

Dans le cas de Firefox, le certificat définitivement accepté, vous n’aurez plus d’alerte lors de l’accès au site.

Avec GoogleChrome

GoogleChrome ne permet pas à ma connaissance d’ajouter une exception de sécurité... mais il donne tout de même des informations plus précises que le navigateur MSIE.

Lors de l’alerte, on obtient un affichage comme suit :

Il faut cliquer sur Poursuivre quand même et il faudra le faire à chaque visite.

Avec Micro$oft Internet Explorer

MSIE ne permet pas à ma connaissance d’ajouter une exception de sécurité et il ne donne pas non plus d’indication explicite sur le problème.

Il s’affiche quelque chose comme :

Vérifiez que l’adresse est bien https://gepi.clg-lehameau-bernay.ac-rouen.fr et cliquez sur Poursuivre avec ce site web
Promis, on ne vous demandera pas votre numéro de carte bleue ;)

Thème graphique adapté de Corporate Office sous licence Creative Commons Attribution 2.5 License