Bonjour
 
J'ai deux sites ssl a heberger en interne (sous apache2 avec des virtuals hosts par nom) et comme ssl ne supporte pas les virtualhosts par nom, j'essaie de trouver une solution.    
 
J'aimerais un certificat ssl pour chaque site : site1 et site2 et que le navigateur ne signale pas de probleme de certificat.
 
Il existe une solution que je connais, faire des @ip virtuelles, des vhost par IP et generer un certificats ssl pour chaque site.    
 
Cependant j'aimerais utiliser une autre solution, par nom, avec un certificat ssl répondant pour plusieurs adresses    
 
J'ai donc utilisé la proprieté subjectAltName lors de la génération du certificat (avec apache2-ssl-certificate par exemple). En voici le code :
 

 
Ensuite pour chaque vhost, je colle le lien vers le certificat. Voici un exemple :
 

 
Alors le probleme en fait...
 
Sous IE ca marche bien, il me reconnait bien le champ "autre nom de l'objet" et m'indique bien site1.xx.fr et site2.xx.fr (pas de warning) mais sous Firefox cela ne marche pas ! Il repere bien la proprieté "autre nom" mais cela ne marche pas, il me donne un warning (comme quoi les noms ne correspondent pas, ie je me connecte sur le site2 et il me dit que le certificat est pr le site1) !!!!?  A quoi cela est il du ? Comment faire marcher ca ??
 
merci

Bon en image
 
IE ca marche
 

 
Bieng    
 
Sous FF 1.5x
 

 
pas bieng  
 
D'ou vient le probleme ? Du navigateur ou de ma facon de generer le certif ?

Tu veut que tes navigateurs ne "signalent pas de probleme de certificat".
 
Or, tu gènere toi même tes certificats, (autorité qui gènere le cerfificat = ce pour qui le certificat est généré). Donc, sauf acceptation définitive par le client, tu aura toujours ce message d'erreur...
 
Deuxiemement, part toujours du principe que Firefox respecte mieux les normes que IE (css, js, xhtml, ...), donc si sa passe sous IE, c'est qu'il est plus tolerant que FFox. Et tolérance <> sécurité.
 
EDIT
De mémoire, les certifs de Verisign sont à 1000 € par ans.  

Nan c'est pas le probleme d'etre auto signé qui me gène, c'est le probleme de warning au niveau du nom du site, qui n'apparait pas sous IE, mais sous FF !  
Concretement j'ai l'impression que IE comprend qu'il s'agit d'un certificat avec des alias, et FF non  

et pourquoi ne génerais tu pas un certificat du style *.tondomaine.fr ?

Oui j'ai essayé ainsi que les (xxx1|xxx2).yyy.fr
 
Mais je pense que ca ne vient pas de ma config. Si on va sur ce site avec FF:
https://en.wiki.aktivix.org/CAcert
Et qu'on examine le certificat, il y a le meme probleme (nom incorrect), alors que justement cette demo devrait montrer le contraire... Sous IE ca marche..

*.tondomaine.fr ca marche pour moi

c'est marrant parce que chez moi cela fonctionne sans problème.

 
Tu modifies les fichiers de ssl ou tu mets juste ton cn = *.xxx.fr ?
 

 
moi j'ai ca... ce qui n'est pas vraiment rassurant pour l'utilisateur (url differente du nom du site pour lequel le certif est etabli). Avec un certif unique (sans serveralias ou vhost) tu n'as pas ca.  
 

et pourtant la bonne réponse c'est la réponse une que tu n'as pas entourée
Tu ne reconnais tout simplement pas Cacert comme Autorité de certification .

Ce n'est pas le probleme la CA (surtout que j'utilise des certif auto signé) ! Ce qui me pose probleme c'est le reste, le warning au niveau du nom. J'ai le meme pb avec mes sites.

dans le cas que tu viens de montrer   aktivix.org , le message d'erreur est lié au fait que Firefox ne reconnaisse pas (par défaut ) Cacert comme Autorité de certification . C'est tout , cela s'arrete là .
De même si tu utilises des certificats auto signés il est évident qu'un navigateur digne de ce nom hurlera a la mort si un certain nombre de mesures ne sont pas respectés .
Utiliser un chiffrage tls/ssl en ayant des paramêtres invalides *doit* entrainer un avertissement pour l'utilisateur du navigateur .
C'est comme cela.
Si Internet Explorer ne respecte pas ce genre de choses c'est son problème .
Tu es en train de reprocher a Firefox de ne pas disposer des memes stupidités de fonctionnement ...

Bon tu as mal lu ce que j'ai indiqué, tant pis. Je suis pas idiot, je sais bien comment ca marche les certificats. Mon probleme ne concerne pas du tout sur ce warning lié à la CA, mais sur les autres warning indiqué par firefox (et pas sous IE, alerte des certificats auto signés mis à part). Merci quand meme, mais mon souci est autre  

précises alors mieux ton problème .
que reproches tu a firefox ? d'établir une liste de warnings sans précision ?

En + clair, tu reproche à Firefox d'être plus parano que IE au niveau de la sécurité.
Imagine qu'au lieu de metre site.xxx.com tu mettait un nom de banque et qu'il ny avait pas d'alerte (fishing)
 
Mon avis serait qu'il n'y a qu'une seule boite de dialogue sous FFox pour signaler un pb de secu SSL, et quelque soit la raison du problème.

Je vois exactement de quoi tu parles, mais pourquoi tu nous fais pas un screen du second warning ????
 
Le premier est dû au fait que ton serveur n'est pas concidéré comme autorité de certification.
 
Le suivant vient du fait que ton vhost ne récupère pas le bon certificat.
 
J'ai ouvert un topic il y quelques temps, mais j'ai toujours pas trouvé la solution... La seule solution que j'avais c'était de gèrer les alias sur un seul domaine... Mais bon, il faut surement creuser autour d'apache, il doit pouvoir le gérer.

Voila le vhost ne recupere pas le bon certificat,  c ca mon pb, merci ca marche sous ie et pas sous ff...
apparement il n existe pas de solution sauf vhost par ip + multiple certif (ca ca marche c sur)!