none
probleme CRL et pop up alerte de sécurité IE RRS feed

  • Question

  • Bonjour,

    Depuis quelque temps, nous avons ce message d'erreur qui se produit de manière totalement aléatoire.

    Je suis sur google, j'écris un mot dans la barre de recherche, et même sans appuyer sur entrée, ce message s'affiche.

    Même problème parfois en cliquant sur un lien présent sur la page de google.

    Le problème se produit principalement sur le site de google, youtube également...

    Le point commun c'est que c'est toujours le certificat auprès de google qui est vérifié donc.

    Au niveau des derniers changements qui ont été mis en place :

    -changement de FAI

    -changement de naviagateur pour utiliser IE 11 avec GPO préférence pour le gérer

    -mise en place d'une solution proxy en utilisant un fichier .pac

    Je ne parviens pas à reproduire le problème à chaque fois , il est aléatoire.

    Aujourd'hui ça peut fonctionner, demain non. Cela n’empêche pas la navigation mais entraine du support informatique important.

    Je ne vois pas trop vers quoi me tourner ni vers ou chercher

    Sur firefox, apparement le problème ne se produit pas.


    jeudi 11 février 2016 07:58

Toutes les réponses

  • Petit indice qui a peut etre son importance :je suis aller sur pki.google.com

    et dans frequently asked question il y a une partie pour tester les clients :

    aller sur ce site : https://cert-test.sandbox.google.com

    Sur firefox ca me dit test ok avec ou sans proxy.

    Sur ie, avec un proxy ca me dit que le proxy ne réponds pas et sans proxy ca me dit d'activer tls 1,1.1 et 1.2  alors qu'ils sont deja activés.

    jeudi 11 février 2016 08:42
  • personne aurait une piste  ?
    vendredi 19 février 2016 18:27
  • Bonjour,

    sachant que j'utilise IE11 et que je n'ai aucune alerte sur les sites YouTube ou Google, bien que la case  "vérifier la révocation...." est bien cochée dans l'administration avancée de IE, cela veut dire que le problème n'est pas lié aux certificats de ces sites, mais à la configuration spécifique de ta machine ou de ton réseau.

    Je suppose qu'il y a un Proxy ou pare-feu (ou autre) qui intercepte les requêtes réalisées ou qui empêche l'accès aux sites permettant la vérifications des certificats. Le problème de certificat peut se situer sur le proxy lui-même qui dans certains cas (Zscaler, par exemple) utilise son propre certificat pour communiquer avec le client...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    samedi 20 février 2016 05:32
    Modérateur
  • Tout d'baord merci pour ta contribution.

    Ensuite :

    -Nous utilisons bien un proxy olfeo

    -Le problème est aléatoire mais toujours sur les sites de google.

    Je me doute bien que c'est pas google la cause mais soit un mauvais paramétrage de notre côté niveau IE soit au niveau du proxy de temps à autres. mais quand je dis de temps à autres, quelqu'un qui fait que des recherches google toute sa journée par exemple aurait le message 100 fois sans problème.

    J'ai bien tenté de voir avec olfeo mais ils bottent un peu en touche le ticket n'avance pas trop. Je pense qu'ils se disent que c'est une mauvvaise configuration du navigateur et ca va pas plus loin.Sur firefox pas de problème, mais ce message n'existe pas sur firefox je pense.

    je ne vois pas quoi faire la concrétement pour savoir d'ou pourrait venir le problème en dehors d'une petite idée qui est de naviguer beaucoup sur google sans proxy (car on a accés a tout aujourd'hui sans proxy, période de transition)  et regarder si le message est toujorus présent ou non.

    samedi 20 février 2016 09:37
  • Et si tu affiches le certificat et que tu regarde le nom et l'emplacement ou est publié la liste de révocation .  

    Tu copie l'URL de la liste de révocation et tu vérifie que le proxy ne la bloque pas.


    samedi 20 février 2016 11:29
    Modérateur
  • Déjà fait justement.

    Encore une fois, le problème est aléatoire c'est ca qui pose problème surtout.

    Un proxy bloque ou ne bloque pas.

    Ca va marcher la plus part du temps... Comme si c'etait a un moment precis que ca ne fonctionnait plus puis ensuite c'est bon

    dimanche 21 février 2016 10:15
  • Certain proxy peuvent bloquer des liens a certaines heures. C'est le cas pour celui que j'utilise.

    Le message dit qu'il n'arrive pas trouver la liste de révocation. Le problème peut venir de la résolution de nom, par exemple si tu ne mets pas de redirecteur pour le DNS et que tu utilises la liste des serveurs roots, ils arrivent que les temps de résolutions soient trop long. Le problème peut venir d'un mécanisme de filtrage.

    En regardant le chemin de la liste de révocation tu peux éventuellement tester ces éléments.

    dimanche 21 février 2016 18:10
    Modérateur
  • Nous avons un problème similaire, depuis la migration en internet explorer 10 (et le problème se pose aussi avec la 11). notre situation:

    -changement de navigateur pour utiliser IE 11 avec GPO préférence pour le gérer

    -mise en place d'une solution proxy par authentification en utilisant un fichier .pac (solution qui fonctionnait parfaitement en 9)

    -les adresses des crl sont bien accessibles lorsqu'on copie le lien dans le navigateur

    lorsqu'on analyse les requêtes envoyées par le navigateur au proxy, on s'aperçoit que le navigateurs tente d'accéder a ces adresses de façon anonyme (requetes qui sont rejetées par le proxy car non authentifiées)

    le problème est donc bien situé au niveau du navigateur


    • Modifié David VDS samedi 23 avril 2016 08:37 faute de frappe
    samedi 23 avril 2016 08:35