Appli Moodle mobile et avertissement HTTPS

Re: Appli Moodle mobile et avertissement HTTPS

par Bruno Malaval,
Nombre de réponses : 4
Avatar Moodleurs particulièrement utiles
Salut Séverin,

C'était une de mes premières recherches concernant le problème du logo.
Je suis tombé sur certaines discussions du forum anglais, notamment celle-ci : https://moodle.org/mod/forum/discuss.php?d=362225

Je suis dans le même cas, le rapport du site geocerts est tout vert pour mon certificat.

De ce que j'ai compris des discussions, il peut y avoir 2 origines à ce problème, qui est en fait un faux problème pour l'instant.

  1. curl et la librairie libcurl qui n'est pas forcément à jour , il faudrait éventuellement recompiler ces éléments pour son propre serveur
  2. l'autorité de certification n'est pas connue comme autorité de certification dans le système qui héberge ton Moodle
Nous avons des certificats émis par TERENA (provenant de RENATER).
Mais sur les systèmes linux, de même que dans les navigateurs, TERENA n'est pas enregistré de base comme une autorité reconnue pour les certificats.

J'ai dans ma TODO liste de chercher comment ajouter cette autorité dans mon système, pour voir si l'erreur s'efface.

Vu que ce n'est pas bloquant, je n'ai pas sauté dessus.
Le problème pourrait devenir crucial si, par exemple, l'appli Moodle Mobile commençait à se baser sur ce test pour évaluer la fiabilité du certificat.

A mon sens, c'est donc ce que l'on pourrait appeler un "faux positif".

Bruno
Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Appli Moodle mobile et avertissement HTTPS

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Je pencherais pour le problème lié à curl.

Il y a un bug ouvert dans le tracker à ce sujet même si, au final, cela dépend pas de Moodle
le bug est ici : [MDL-62832]

Je n'ai pas approfondi plus, mes serveurs sont en RedHat (RHEL 7), et donc j'ai le même problème.

En cherchant et suivant les liens, on trouve des solutions potentielles,
qui consistent à recompiler curl et sa librairie pour y intégrer le certificat racine de l'autorité ..

Bof, pas trop envie vu que c'est juste un avertissement et ne perturbe pas le fonctionnement pour l'instant

Bruno

Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Appli Moodle mobile et avertissement HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Le problème est plus du côté du fournisseur de certificats, qui viole les règles élémentaires de sécurité en utilisant des certificats d'autorité non valides.

C'est vraiment une très mauvaise pratique, car elle empêche les utilisateurs de créer de la confiance vis-à-vis d'interlocuteurs fiables, et sape ainsi le modèle de confiance vis-à-vis de ces interlocuteurs, en installant le doute. Bref c'est très très dommage, surtout lorsque ça provient d'une entité officielle.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Appli Moodle mobile et avertissement HTTPS

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles
Bonjour Nicolas,
Je suis d'accord, mais je ne pense pas que nous soyons dans ce cas,
J'évoquais juste la possibilité que l'autorité ne soit pas reconnue. Et en fait elle l'est.

Dans la fichier de chaîne de certification, il y a bien les autorités mères.
On la retrouve dans les navigateurs, sous "DigiCert Inc", autorité mère pour les certificats émis par TERENA.

De notre coté, je pense que nous sommes plutôt concernés par le problème concernant curl.

Dans mes recherches, j'ai vu qu'il y avait un ticket ouvert chez RedHat à ce sujet

Bruno
Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Appli Moodle mobile et avertissement HTTPS

par Séverin Terrier,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs
Bonjour Bruno,

Merci pour tes investigations, les liens, et ce bilan clarifié en français.

Je suis dans le même environnement technique que toi, avec des serveurs CentOS 7 et des certificats TERENA.

Du coup, ayant d'autres soucis urgents à régler, et basculant dans un domaine que je ne maîtrise pas, je pense que je vais moi aussi garder ça de côté pour plus tard...

Séverin
Moyenne des évaluations  -