Encore une erreur SEC_ERROR_UNKNOWN_ISSUER

Bonjour,
Je viens de monter un yunuhost de dev sur une virtualbox à coté de mon instance de production sur un raspberry.

J’ai effectué l’install et la post install, paramétré mon /etc/hosts pour pointer vers cette machine de dev, supprimer les anciens certificats qui étaient restés dans le magasin de firefox.
Je ne souhaite pas installer de certificat let’s encrypt car il s’agit d’un serveur de dev qui va être amener à être supprimé, copié, etc et auquel je souhaite juste accéder par le réseau local.

Cependant, quand je tente de me connecter à l’adresse de mon serveur, FF me renvoie l’erreur suivante:

Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n’établir qu’une connexion sécurisée. Ainsi il n’est pas possible d’ajouter d’exception pour ce certificat.

yuno.dev utilise un certificat de sécurité invalide. Le certificat n’est pas sûr car le certificat de l’autorité l’ayant délivré est inconnu. Le serveur n’envoie peut-être pas les certificats intermédiaires appropriés. Il peut être nécessaire d’importer un certificat racine supplémentaire. 
Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER 

Du coup, j’arrive bien à accéder à l’interface d’admin en utilisant l’IP de la virtualbox, mais dés que je tente d’accéder à l’interface utilisateur, je suis redirigé vers yuno.dev et ce message apparait.
J’ai tenté de désactiver HSTS en désactivant la ligne suivante dans /etc/nginx/conf.d/yuno.dev.conf:

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Une idée de comment faire??

Ton certificat est probablement auto-signé et donc n’est pas reconnu automatiquement par les navigateurs. Si tu sais ce que tu fais, alors il suffit normalement d’ajouter une exception de sécurité pour ce certificat.

Hello Aleks,
Merci pour la réponse
Je confirme : il est autosigné vu que c’est celui fourni par l’install standard.
J’ai bien ajouté l’exception quand je me suis connecté à l’adresse IP, mais j’ai tout de même ce message lorsque je pointe vers le nom de domaine (yuno.dev)

Oui, ce sont probablement deux certificats différents (entre celui utilisé par l’IP et celui utilisé pour le domaine) donc il faut probablement deux exceptions différentes

sauf que nulle part je n’ai l’option pour ajouter une exception sur le deuxième message…

Meh ben yep c’est probablement un problème avec l’HSTS mais “après-coup” c’est trop tard pour simplement régler le certif en désactivant HSTS sur le serveur.

Tu n’aurais pas déjà accepté un certif pour ce domaine précis avant d’en arriver là (genre en travaillant sur une autre instance avec le meme domaine) ?

Pas sur ce domaine précis non, et j’ai vidé l’intégralité du magasin de certificat FF avant d’essayer de me connecter (enfin, les serveurs, pas les autorités…)

Donc, si je refais une install clean, avec un autre nom de domaine, et qu’ensuite je désactive le HSTS AVANT de tenter de me connecter, ça devrait marcher?

Je commencerais par revérifier dans tous les onglets du gestionnaire de certificat de FF (notamment le dernier onglet) que les certifs ont vraiment été supprimé. Des fois FF fait n’imp et ne supprime pas vraiment le certif (comprends pas pourquoi) et je dois m’y reprendre à 4-5 fois pour qu’il le supprime vraiment … (genre fermer et rouvrir le gestionnaire de certif’)

Alors,
J’ai vidé les certificats du gestionnaire,
J’ai vidé cache et cookies
J’ai lancé FF en mode privé.

Je me suis connecté au serveur par l’adresse https://192.168.XX.XX/yunohost/admin/#/login , j’ai accepté l’exception de sécurité.
Ensuite j’ai cliquer sur “interface utilisateur” et j’ai été redirigé vers l’adresse https://yuno.dev/yunohost/sso/?r=aHR0cHM6Ly8xOTIuMTY4LjAuMzIveXVub2hvc3Qvc3NvLw==
Et là j’ai mon message d’erreur sans possibilité d’ajouter une exception.

J’ai également tenté de récupérer le certificat de yuno.dev en passant par Préférences/vie Privée/afficher les certificats/Ajouter une exception et là en tapant l’adresse de yuno.dev, il me prend bien l’exception mais j’ai toujours le message d’erreur.

Bon, comme toujours, une fois qu’on a trouvé, c’est très simple :slight_smile:
Il suffit d’installer l’autorité de certification.
Mais ou qu’elle se trouve-t-elle donc?
Dans outils/Télécharger l’autorité de certification ssl…
On l’installe dans FF et ça marche direct!

Merci pour ton aide Aleks!

1 Like

Bonjour @Krakinou

Peux tu expliquer comment tu as fais cela je n’arrive pas à comprendre. Je rencontre actuellement le même problème que toi et je voulais savoir si tu pouvais expliciter la solution avant d’ouvrir un nouveau post ?

La fonction pour télécharger l’autorité de certification n’est plus disponible depuis Yunohost.

Mais tu peux la récupérer (en tout cas dans firefox) à partir du message “afficher le certificat” et ensuite tu peux l’installer dans les options/Vie Privée et sécurité/Certificat/afficher les certificat.
Là, tu vas dans “Autorités” puis importer et tu importes le fichier pem que tu as télécharger.
Ensuite, ça devrait marcher.

Cela ne fonctionne pas avec mon firefox, en fasant ça j’ai cette annonce qui s’affiche :

Je te remercie @Krakinou, je vais ouvrir un post dédié.

Sinon tu peux recup le fichier .pem en faisant sur le serveur :

cat /etc/yunohost/certs/yunohost.org/ca.pem

(Tu peux copier-coller ça dans un fichier sur ta machine et l’importer dans firefox et ça devrait marchouiller ?)

2 Likes

Merci @Aleks ça a fonctionné à la perfection.

1 Like