Ignorer les erreurs de certificat

Nolann · March 6, 2024, 3:41pm

Bonjour,
J’aimerais savoir s’il est possible d’ajouter une option sur Asqatasun web-app pour ignorer les erreurs de certificats sur les pages à scanner.

Merci.

mfaure · March 6, 2024, 5:00pm

Bonjour @Nolann et bienvenue sur le forum Asqatasun

Excellente question ! Tu es le premier que je vois remonter ce cas d’usage. J’imagine que tu parles d’un certificat HTTPS qui serait auto-signé et non reconnu par un navigateur.

Si c’est bien de cela dont on parle, rien n’est prévu pour contourner cette erreur.

Je ne connais pas ton contexte, mais pourquoi un certificat Let’s Encrypt n’irait pas ?

koj · March 7, 2024, 7:49am

Bonjour @Nolann

Est ce que tu nous décrire quel genre d’erreur cela produit?

Nolann · March 8, 2024, 10:08am

Bonjour @mfaure,
en interne nous avons une plateforme de staging avec des certificats généré en interne et nous n’avons pas d’intérêt à avoir des certificats Let’s Encrypt reconnu par un navigateur.
Pour information on a une autorité de certificat en interne pour le fonctionnement HTTPS qui génère ses certificats.

Nolann · March 8, 2024, 10:10am

Bonjour @koj,
le but est que sur notre plateforme de staging on puisse vérifier les normes d’accessibilité avant la mise en production. Et comme dis ci-dessus cette plateforme à sa propre autorité de certificat.

koj · March 8, 2024, 10:28am

Est ce que cette pf de staging est accessible en http? Auquel cas, tu pourrais simplement spécifier l’URL de test avec ce protocole.
Est ce que tu as deja fait un test Asqatasun pour auditer ton site? Est ce que l’analyse se termine par un échec?

Nolann · March 8, 2024, 10:45am

Non on ne peut pas y accéder en http.
Lorsque j’essaye d’analyser le site en prod, j’ai le rapport qui est bien créé, cependant le même site en interne est inaccessible.
Depuis le conteneur, un curl --insecure accède bien au site.

koj · March 8, 2024, 10:58am

Peux tu préciser ce que tu constates quand tu dis que c’est inaccessible?

Nolann · March 8, 2024, 11:20am

koj · March 8, 2024, 1:27pm

Ok, merci pour tous ces éléments.
Il existe dans l’application une propriété permettant de contourner ce probleme de certificat.
Cette propriété s’appelle APP_ENGINE_LOADER_BYPASSCHECK et sa valeur doit être passée à true.
Ceci étant dit, je viens de constater un bug sur la prise en compte de cette variable, donc je vais avoir besoin de fixer ce bug avant que tu puisses l’utiliser.
Merci pour ce retour en tout cas.
Je repondrai à ce thread dès que le correctif aura été poussé

koj · March 20, 2024, 3:15pm

Bonjour

Une nouvelle version 6.0.0-beta.1 a été releasée, corrigeant le bug décrit plus haut.
Tu peux donc tester de nouveau, avec la propriété APP_ENGINE_LOADER_BYPASSCHECK passée à true
N’hésite pas si tu as des questions

Nolann · April 2, 2024, 8:38am

Bonjour,

J’ai rencontré un problème en essayant d’exécuter le Docker Compose pour MariaDB. Malheureusement, le dossier target requis n’est pas présent. Étant dans l’impossibilité d’installer Java sur mon poste, je ne peux pas construire ce dossier. Je recherche une solution sous forme d’une image Docker prête à l’emploi qui pourrait résoudre ce problème. Est-ce que tu sais si une image sera disponible prochainement ?

Merci.

koj · April 2, 2024, 1:12pm

Tu peux trouver une composition fonctionnelle et à jour sur le repository gitlab Asqatasun dédié à docker
Ces compositions utilisent les images Asqatasun présentes sur docker hub
N’hésite pas si tu as des questions sur l’utilisation

Bonne journée