Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

Forefront TMG 2010 - Inspection SSL avec Mozilla Firefox

Forefront TMG 2010 - Inspection SSL avec Mozilla Firefox

  • Comments 1
  • Likes

Ceux qui ont déployé Forefront Threat Management Gateway (TMG) 2010 et activé l’inspection SSL (cf. http://technet.microsoft.com/fr-fr/library/ee658156.aspx) ont peut être constaté qu’avec Mozilla Firefox, cela posait un problème de reconnaissance au niveau des certificats.

Exemple : si on connecte sur un lien HTTPS, on obtient l’avertissement suivant :

Pour chaque site en HTTPS, l’utilisateur fait face à ce message d’avertissement qui n’est pas très encourageant ;-)

Pourquoi ce problème apparait-il sur Mozilla Firefox alors qu’il n’existe pas pour Internet Explorer ou Google Chrome ?

Simplement parce qu’IE et Chrome sous Windows utilisent les magasins de certificats de Windows. Magasins dans lequel vous (administrateur) aurez déployé le certificat (de type autorité de certification) utilisé par Forefront TMG 2010 pour générer dynamiquement des certificats pour l’ensemble des sites accédés en HTTPS par les utilisateurs.

Mozilla Firefox dispose de sa propre gestion d’un magasin de certificat qui est complétement indépendant des mécanismes de Windows. Il faut donc, pour profiter de l’inspection HTTPS de Forefront TMG sans message d’avertissement, installer le certificat d’autorité de CA de Forefront TMG dans le magasin de Firefox.

Pour cela, il vous faut tout d’abord exporter le certificat sur le serveur Forefront TMG, puis l’installer dans Mozilla Firefox en allant dans les options avancées :

Cliquer sur View Certificates

Cliquer sur Import… et sélectionner le fichier de certificat exporté au préalable sur Forefront TMG 2010

En cliquant sur View, vous pouvez avoir plus de détails sur le certificat

Un fois importé, le certification d’Autorité de Certification apparait dans la liste des autorités

Il vous suffit ensuite de tester que l’inspection fonctionne bien (= sans message d’avertissement de Firefox). Par exemple, je me suis connecté ici sur https://secure.eicar.org/eicar.com.txt (ce qui permet de vérifier le fonctionnement de l’antivirus HTTP de Forefront TMG dans une session SSL inspectée).

Informations complémentaires sur la gestion des magasins de certificats :

– Stanislas Quastana -

Comments
  • Bonjour, Savez-vous si il est légal d'inspecter un flux HTTPS, au niveau du droits Français ? Je suis en charge d'éavlualuer le filtrage web. Et cet avantage notable est'il légal en droit Français ?

    Par avance Merci

    Cdt,

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment