Discussion :

[Sarlak]

Bonjour à tous,

Je m'en viens quérir votre aide en ce jour car je me trouve face à une situation ou j'éprouve quelques difficultés !

J'ai un système d'authentification avec certificat client sur mon serveur apache, dans l'absolu ca fonctionne, ca y a pas de problème. Le soucis que j'ai est quelque peu spécifiques.

Lorsqu'une erreur se produit durant le processus d'authentification (aucun certificats fournit, certificat révoqué, certificats invalide, etc), les erreurs affichées sont dépendante du browser, et très souvent peu clair.

Je sais que l'erreur retournée au serveur est une 403, et il semblerait qu'il existe des substates codes spécifiant la raison de cette erreur. J'ai aussi trouvé qu'il semble impossible de récupérer ces substates codes avec apache, puisque ce dernier ne travail, semblerait-il, pas à la même couche de protocole.

J'avais trouvé un mod apache, datant de 2005 et demandant la recompilation de mod_ssl pour l'y adjoindre, qui permet semblerait-il de rediriger l'utilisateur sur des pages d'erreurs personnalisées pour les différents type d'erreur.

C'est ce que je cherche à faire, ce mod me semble quelque peu "underground" et j'avoue hésiter à m'en servir, surtout que le mod_ssl à pour ca part bien du changé depuis 2005, et je suis pas sur de pouvoir le recompiler en ajoutant le vieux mod gérant les erreurs.

J'aurais donc voulu savoir si vous connaissiez un moyen pour gérer ces différentes erreurs et affiche un message ou une page personnalisée à l'utilisateur, afin de lui permettre de comprendre pourquoi ça ne fonctionne pas et, le cas échéant, nous faire remonter l'erreur précise pour que l'on puisse l'aider.

Question subsidiaire, si vous avez un tuto bien foutu sous la main permettant la configuration d'un serveur apache pour l'authentification par certificat client, je suis preneur, même si ca fonctionne actuellement, un bon tuto pour m’inspirer et vérifier si j'ai rien oublié serait le bienvenue !

Merci d'avoir lu jusqu'ici, et merci d'avance à ceux qui pourront éventuellement me donner de l'aide d'une quelconque façon

[_Mac_]

J'ai aussi trouvé qu'il semble impossible de récupérer ces substates codes avec apache, puisque ce dernier ne travail, semblerait-il, pas à la même couche de protocole.

Oui et non. Apache est quelque part sur la couche SSL grâce à mod_ssl mais je pense que le souci principal vient du protocole SSL lui-même et du fait qu'il intervient avant HTTP : il ne propose pas les mécanismes qui permettraient de personnaliser les messages d'erreur. Par ailleurs, ni le serveur ni le navigateur qui sont en train d'établir la liaison SSL ne sont pas en "état" d'envoyer ou recevoir le moindre code HTML ou réponse HTTP car le prérequis à cela est que le canal SSL soit établi.

J'ai fait un test avec Wireshark et Firefox + l'extension Live HTTP Headers pour appeler un site qui demande un certificat client pour l'authentification, et à aucun moment je ne vois transiter de réponse HTTP du serveur qui permettrait de faire une redirection. Donc je pense que ce que tu demandes n'est pas possible

[Sarlak]

Ouch ! Merci beaucoup pour ta réponse en tout cas ! Je vais donc regardé cette histoire de vieux mod qui pourrait quand même permettre ce genre de chose, mais la possibilité semble compromise.

Pourtant, le navigateur établissant la connexion reçoit bien des messages d'une façon ou d'une autre, puisque le message d'erreur lors des différents type de problème avec le certificats varie (entre du handshake, general exception, etc) ... mais je suppose que le mécanisme n'est pas assez précis, ca doit être assez global comme statut de retour ...

IIS permet de capturé les substates d'erreur SSL, dommage que rien de tel ne soit proposé par apache, mais il est vrai que c'est pas forcément très demandé.

Merci pour tes indications en tout cas, et si quelqu'un passe par là avec une idée ou une piste sur cette situation, surtout, qu'il hésite pas

[_Mac_]

Le serveur précise quand même le type d'erreur qu'il rencontre sur l'établissement d'un canal SSL mais dans un message SSL. Pour mon exemple, le code d'erreur est 40. Voir http://en.wikipedia.org/wiki/Transpo...Alert_protocol. Une autre raison pour laquelle je pense que la redirection est impossible est que le protocole SSL ne s'applique pas qu'à HTTP mais à tout un tas de protocoles (FTP par exemple) pour lesquels la notion de redirection n'existe pas ou de toute façon fonctionne de manière totalement différente.

[Sarlak]

Merci encore pour ton aide, j'ai abandonné cette piste au profit d'autres méthodes pour gérer les erreurs, à savoir :

- Certificat optionnel pour la section
- Vérification de la présence du certificat en PHP
- Vérification de l'issuer via SSLRequire et des variables d'environnement
- Vérification de la date de validité en PHP

Je verrai pour le reste en temps voulu, mais je vous remercie encore pour vos informations précieuses, je mets un "résolu" sur le sujet.