Discussion :

[OlivierAxyome]

Bonjour à tous,
Je viens d'installer un certificat pour SSL (de classe II) sur un tomcat. Sur certaines machines, le certificat est refusé à la fois sur FF et sur IE. Dans ce cas, FF et IE ne disent même pas "Certificat erroné", mais comme si l'url était erronée. Ces machines sont chez un client branché avec une offre Colt. Notez que certaines machines de ce réseau échouent, mais pas toutes.

Je me pose plusieurs questions pour essayer de trouver ce qui se passe :
1/ A quel niveau côté client dois-je chercher ce qui peut bloquer un certificat ?
2/ Y-a-t-il moyen pour tracer la requête et qu'on sache quel équipement (hard / soft) bloque l'accès ?
3/ Est-ce plausible qu'une installation bloque les certificats de classe I et II, tout ce qui est inférieur à III ?
4/ L'horloge du serveur doit-elle être très précise (aujourd'hui 5mn de retard) sinon, explication possible du refus ?
5/ Par quel bout prendre ce problème ?

Je sèche un peu car, bien sûr, de mon côté, ça marche.
Merci d'avance pour vos suggestions.

Olivier.

[_Mac_]

Dans ce cas, FF et IE ne disent même pas "Certificat erroné"

Ils disent quoi exactement ? Le navigateur doit te dire quelque part ce qui ne lui plaît pas. Avec Firefox, s'il refuse le certificat, tu as une page avec 2 sections : une section "technical details" et une autre "I understand the risks" (ça peut être en français, bien entendu). Si c'est le cas, clique sur "Technical details" tu sauras pourquoi le certificat est refusé. Si c'est sur Internet, tu peux envoyer par MP l'URL des sites et je verrais ce que ça donne. Si le problème est autre, peux-tu envoyer une capture d'écran de ce que tu as ?

Le problème ou plutôt l'avantage avec SSL c'est qu'on ne peut pas vraiment tracer les requêtes. Tu peux faire une trace avec Wireshark mais tout ce que tu obtiendras c'est du code binaire incompréhensible avec au milieu le certificat envoyé par le serveur. Tu obtiendras ce certificat avec ton navigateur.

Mais du coup, si ton navigateur (FF par exemple) ne te propose pas de télécharger le certificat et de le truster toi-même, il y a un problème. Dans ce cas, c'est effectivement possible qu'un appareil sur le réseau bloque la connexion mais dans le cas du SSL, ces appareils sont supposés faire le strict minimum. Il faut voir avec les admins du réseau si des appareils sensibles aux certificats SSL existent. Mais si les PC sur lesquels ça marche sont sur le même LAN que les PC sur lesquels ça ne marche pas, ça ne peut pas venir de ces équipements car ce sont a priori les mêmes dans les 2 cas.

Niveau horloge, c'est possible. 5 minutes est à la limite mais ça ne devrait pas nécessairement bloquer les choses. Tu peux tester sur un PC qui bloque, voir ce que ça donne si tu resynchronise l'horloge de ce PC.

Regarde aussi les traces du serveur, des fois qu'il y ait une explication du refus de la connexion si refus il y a.