Discussion :

[chatis]

Bonjour,

J'ai essayé de signer une applet avec un certificat de comodo instantssl.com et quand j'arrive à la signature j'ai eu cette erreur :

The signer certificate's ExtendedKeyUsage extension doesn't allow code signing

Je me suis renseigné et pour signer une applet il faut un certificat qui accepte le code signing... ET CA COUTE LA PEAU DES FESSES !!!!!

J'aimerais vraiment savoir comment faire pour signer ce jar sans jamais avoir d'erreur de sécurité ? Il n'y a vraiment aucun moyen de signer soi-même le jar et de transmettre le certificat au client ? Car mon applet ne fait rien d'autre que lire un lecteur de carte RFID et ca fait vraiment cher pour juste faire cela.

[chatis]

Perosnne n'a une idée ?

[bytecode]

Salut

Perso je n'ai pas encore réussi mais je me suis amusé a récupérer l'applet fournis par oracle et je l'ai décortiqué enfin pour l'instant j'ai pas encore tout regarder tu peut t'en servir pour apprendre comme moi voici mes sources

https://java.com/en/download/JavaDetection.jar

jarsigner -verbose -certs -verify JavaDetection.jar

Donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
C:\Program Files\Java\jdk1.7.0_03\bin>jarsigner -verbose -certs -verify JavaDete
ction.jar
 
s        378 Thu Oct 10 11:11:46 CEST 2013 META-INF/MANIFEST.MF
 
      [entry was signed on 10/10/13 18:12]
      X.509, CN="Oracle America, Inc.", OU=Software Engineering, OU=Digital ID C
lass 3 - Java Object Signing, O="Oracle America, Inc.", L=Redwood Shores, ST=Cal
ifornia, C=US
      [certificate is valid from 22/01/13 01:00 to 23/01/16 00:59]
      X.509, CN=VeriSign Class 3 Code Signing 2010 CA, OU=Terms of use at https:
//www.verisign.com/rpa (c)10, OU=VeriSign Trust Network, O="VeriSign, Inc.", C=U
S
      [certificate is valid from 08/02/10 01:00 to 08/02/20 00:59]
      X.509, CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU
="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network,
 O="VeriSign, Inc.", C=US
      [certificate is valid from 08/11/06 01:00 to 08/11/21 00:59]
      X.509, OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc
.", C=US
      [certificate is valid from 29/01/96 01:00 to 03/08/28 01:59]
 
         342 Thu Oct 10 11:11:48 CEST 2013 META-INF/ORACLE_C.SF
        7496 Thu Oct 10 11:11:48 CEST 2013 META-INF/ORACLE_C.RSA
           0 Thu Oct 10 09:10:58 CEST 2013 META-INF/
sm      1123 Fri Feb 01 09:07:48 CET 2013 JavaDetection.class
 
      [entry was signed on 10/10/13 18:12]
      X.509, CN="Oracle America, Inc.", OU=Software Engineering, OU=Digital ID C
lass 3 - Java Object Signing, O="Oracle America, Inc.", L=Redwood Shores, ST=Cal
ifornia, C=US
      [certificate is valid from 22/01/13 01:00 to 23/01/16 00:59]
      X.509, CN=VeriSign Class 3 Code Signing 2010 CA, OU=Terms of use at https:
//www.verisign.com/rpa (c)10, OU=VeriSign Trust Network, O="VeriSign, Inc.", C=U
S
      [certificate is valid from 08/02/10 01:00 to 08/02/20 00:59]
      X.509, CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU
="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network,
 O="VeriSign, Inc.", C=US
      [certificate is valid from 08/11/06 01:00 to 08/11/21 00:59]
      X.509, OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc
.", C=US
      [certificate is valid from 29/01/96 01:00 to 03/08/28 01:59]
 
sm       646 Thu Oct 10 09:09:04 CEST 2013 JNLP-INF/APPLICATION.JNLP
 
      [entry was signed on 10/10/13 18:12]
      X.509, CN="Oracle America, Inc.", OU=Software Engineering, OU=Digital ID C
lass 3 - Java Object Signing, O="Oracle America, Inc.", L=Redwood Shores, ST=Cal
ifornia, C=US
      [certificate is valid from 22/01/13 01:00 to 23/01/16 00:59]
      X.509, CN=VeriSign Class 3 Code Signing 2010 CA, OU=Terms of use at https:
//www.verisign.com/rpa (c)10, OU=VeriSign Trust Network, O="VeriSign, Inc.", C=U
S
      [certificate is valid from 08/02/10 01:00 to 08/02/20 00:59]
      X.509, CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU
="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network,
 O="VeriSign, Inc.", C=US
      [certificate is valid from 08/11/06 01:00 to 08/11/21 00:59]
      X.509, OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc
.", C=US
      [certificate is valid from 29/01/96 01:00 to 03/08/28 01:59]
 
           0 Thu Oct 10 09:08:46 CEST 2013 JNLP-INF/
 
  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope
 
jar verified.
 
C:\Program Files\Java\jdk1.7.0_03\bin>

http://dj-java-decompiler.softonic.fr/

https://www.startssl.com/ class 2

ou toutes certification qui permet la signature d'un class/object

https://www.networking4all.com/fr/su...andes+keytool/

Put Makecert.exe application on C: drive.
Open a command line window.
Type C:\makecert -r -n "CN=Top" -sv D:\top.pvk D:\top.cer This will create two files on your D: drive: top.pvk and top.cer
Type a password for the private key.
Put the pvk.exe file on D: drive. Use pvk.exe to convert .pvk file to .pem format
Type in command line: D:\pvk.exe -in top.pvk -out top.pem
(You will be asked to type the password before conversion.)
Use ssh-keygen to extract the public key and save it in RFC 4716 format
Type in command line D:\ssh-keygen -e -f D:\top.pem > D:\top.pub
(You will be asked to type the password before extraction.)
Convert .pem to .ppk (PUTTY key format).
To do that, just load top.pem in FileZilla client (go to Edit menu->Settings->Connection->SFTP)
In freeSSHd server, go to Settings->Authentication
Select the Public key authentication and disable all other methods.
Indicate the public key folder and make sure you copy the top.pub file in that folder.

http://www.microsoft.com/en-us/downl...s.aspx?id=3138

http://blog.novencia.com/2011/03/certifier-les-projets/

http://aldian.developpez.com/tutorie...ne-m2m-tomcat/

http://www.blog.florian-bogey.fr/ins...sous-wamp.html

http://sebsauvage.net/streisand.me/perturbateur/?page1

https://forum.startcom.org/viewtopic.php?t=1390

voilà tu as tous ce que j'étudie pour pouvoir y arriver

à bientôt

[chatis]

Merci..

J'ai fait le tour de tout cela déjà et rien ne résout le problème avec des solutions non payantes.... Je cherche quelque chose que je pourrais installer chez le client afin de faire parti de son cercle de confiance

[bytecode]

Bah sans payer j'y est cru mais pas longtemps

Mais je penser que comme un activeX il est étais possible que le client installe le certificat de façon automatique si il le choisissais

depuis java 7_17 on dois même pour un applet de confiance accepter en cochant la case

Ce qui étais avant cette version une grave défaillance à mon avis... rectifier grâce aux chercheur en sécurité informatique

Un gouvernement (par exemple) pouvais installer n'importe quelle logiciel sur ses concitoyens en venant payer ses impôts

Mais qu'en est il des autres "institutions" qui tourne avec java 1.6

Parce qu'il ont fait confiance a un logiciel propriétaire Sunn qui n'a rien fait de mieux ou de moins bien que oracle les applet et leurs sécurité défaillante existe depuis des années bien avant que Oracle rachète java

Tout n'est pas encore rose mais java touche aussi Linux mac et androïde bref il étais temps que ça bouge même si la jvm 1.7.0_45 est encore une passoire

Il reste aujourd'hui au gouvernement la possibilité de passer par les mises à jour ça marche aussi par certificat de confiance

la sécurité informatique à de beau jours encore devant elle

Comme je cherche du taf c'est une voie que j'ai privilégier d’où mes testes mais la loi sur la full disclosure c'est faire l'autruche et je trouve ceci idiot.

On dois encourager et non pas diabolisé ceux qui font bouger les grosses société comme Oracle et tous les autres

Tous ça pour dire que si nombre de développeurs râle de l'évolution des message de sécurité de java moi j'en suis très satisfait le malheur des un fait toujours le bonheur des autres c'est comme ça

[chatis]

J'espère qu'on trouvera une solution non payante.. ou nettement moins cher pour les très petit projet !

Merci