Scénario #35264
Zephir 2.9 - Certificat => Invalide
100%
Description
Erreur affichée par diagnose :
*** Validité des certificats > Validité du certificat zephir2_ac-amiens_fr.pem > . Certificat => Invalide > . Chaîne => OK > . Expiration => Fin de validité dans plus de 30 jours > . DNS reconnus => zephir2.ac-amiens.fr www.zephir2.ac-amiens.fr > . DNS superflus => www.zephir2.ac-amiens.fr > . Date de fin => sam. 08 avril 2023 01:59:59 CEST > . CA => GEANT OV RSA CA 4 >Est-ce gênant ?
EOLE 2.9 :
ne pas considérer ce cas de figure comme une erreurafficher les noms de domaine superflus en orange voir en blanc car il s'agit uniquement d'une information
Après discussion, il s'agit bien d'un cas d'erreur, il faudrait plutôt un message qui explique à l'utilisateur comment résoudre le problème.
Sous-tâches
Historique
#1 Mis à jour par Joël Cuissinat il y a environ un an
C'est l'AC Sectigo (RENATER) qui ajoute un www en "Noms alternatifs du sujet"
#2 Mis à jour par Joël Cuissinat il y a environ un an
root@zephir:~# CreoleSet ssl_subjectaltname "zephir.ac-test.fr www.zephir.ac-test.fr"
- instance / re-génération du certificat (autosigné)
- diagnose OK
. Certificat => OK . Chaîne => OK . Expiration => Fin de validité dans plus de 30 jours . DNS reconnus => zephir.ac-test.fr www.zephir.ac-test.fr . Date de fin => dim. 01 mars 2026 17:37:04 CET . CA => CA-zephir.ac-test.fr
root@zephir:~# CreoleSet ssl_subjectaltname "zephir.ac-test.fr"
- diagnose KO
. Certificat => Invalide . Chaîne => OK . Expiration => Fin de validité dans plus de 30 jours . DNS reconnus => zephir.ac-test.fr www.zephir.ac-test.fr . DNS superflus => www.zephir.ac-test.fr . Date de fin => dim. 01 mars 2026 17:37:04 CET . CA => CA-zephir.ac-test.fr
#3 Mis à jour par Joël Cuissinat il y a environ un an
Ajouter les domaines "superflus" dans "Nom DNS alternatif du serveur" (ssl_subjectaltname) permet bien de faire disparaître l'erreur, ceci dit, ce cas de figure ne devrait pas faire remonter une erreur mais juste une information...
→ ne pas considérer ce cas de figure comme une erreur
→ afficher les noms de domaine superflus en orange voir en blanc car il s'agit uniquement d'une information
#4 Mis à jour par Joël Cuissinat il y a environ un an
- Tracker changé de Demande à Scénario
- Début
01/03/2023supprimé - Release mis à EOLE 2.9.0
#5 Mis à jour par Joël Cuissinat il y a environ un an
- Points de scénarios mis à 1.0
#6 Mis à jour par Joël Cuissinat il y a environ un an
- Release changé de EOLE 2.9.0 à EOLE 2.8.0.1
#7 Mis à jour par Joël Cuissinat il y a environ un an
- Release changé de EOLE 2.8.0.1 à Carnet de produit (Cadoles)
#8 Mis à jour par Joël Cuissinat il y a environ un an
- Description mis à jour (diff)
#9 Mis à jour par Benjamin Bohard il y a presqu'un an
De mon point de vue, le certificat ne devrait être valide que pour des noms de domaines définis et le script ne devrait pas faire de déduction intelligente sur les exceptions à faire.
Dans le cas où la présence de noms de domaine superflus n’est pas remonté en erreur, l’utilisation du certificat pour un autre site que les sites déclarés rend ce site aussi légitime que les sites déclarés, sans que l’administrateur n’en soit clairement averti (par l’erreur).
Dans le cas présent où le nom superflu est accepté par l’administrateur, il me semble plus judicieux que l’administrateur ajoute ce nom dans la configuration.
Dans l’idéal, on devrait avoir un certificat par usage (identification machine, services), ce qui limiterait la nécessité d’avoir une multiplication des noms alternatifs dans un certificat.
#10 Mis à jour par Benjamin Bohard il y a presqu'un an
- Echéance mis à 01/01/2024
- Assigné à mis à Benjamin Bohard
- Version cible mis à Carnet Cadoles
- Début mis à 01/10/2022
#11 Mis à jour par Joël Cuissinat il y a 12 mois
<febcrash> pour https://dev-eole.ac-dijon.fr/issues/35264#note-9 ce n'est pas gênant puisqu'on peut corriger cette erreur en ajoutant le nom alternatif
Proposition : dans le diagnose, ajouter une ligne suggérant de l'ajouter aux noms DNS alernatifs.
#12 Mis à jour par Joël Cuissinat il y a 12 mois
- Description mis à jour (diff)
#13 Mis à jour par Joël Cuissinat il y a 12 mois
- Description mis à jour (diff)
#14 Mis à jour par Ludwig Seys il y a 12 mois
- Statut changé de Nouveau à Résolu
#15 Mis à jour par Joël Cuissinat il y a 12 mois
- Statut changé de Résolu à Terminé (Sprint)
- Version cible changé de Carnet Cadoles à Livraison Cadoles 31/05/2023
- Release changé de Carnet de produit (Cadoles) à EOLE 2.8.1