Introduction

En mars 2009, le CNRS a renouvelé les certificats de ses autorités de certifications. Les nouvelles autorités doivent donc être chargées dans tous les profils de navigateur et d’outils de messagerie.

Effectuer ce chargement est une opération simple à la portée de tous. Cependant, l’expérience acquise depuis 2001 sur l’Infrastructure de gestion de clés du CNRS a montré que les utilisateurs étaient peu enclins à effectuer de telles opérations.

Tant mieux, pourrait-on dire, car la résistance que mettent nos utilisateurs à charger les autorités de certification du CNRS s’applique aussi aux chargements d’autorités douteuses demandés par ingénierie sociale.

Le chargement des nouvelles autorités de certification passe donc par un déploiement automatisé.

Windows, via les mécanismes d’Active Directory et GPO, propose des solutions pour importer des certificats d’autorités de certification pour Internet Explorer et autres applications Microsoft. Mais actuellement, il n’a pas de solution pour les applications de la famille Mozilla, ni pour Windows, ni pour d’autres systèmes.

C’est pourquoi notre délégation a développé Update Mozilla Profiles afin de faciliter l’import des nouvelles autorités CNRS dans les profils Firefox et Thunderbird des utilisateurs.

1. Principe de fonctionnement

Le cœur de l’application Update Mozilla Profiles est constitué de la commande updateprofiles. Elle balaye les répertoires d’accueil des utilisateurs de la machine à la recherche des profils Firefox et Thunderbird. La recherche est rapide, car il est assez facile de localiser ces profils.

Pour chacun d’eux, updateprofiles lance trois fois la commande certutil, l’outil de gestion des certificats pour les applications Mozilla, afin de rajouter successivement le certificat des autorités CNRS2, CNRS2-Standard et CNRS2-Plus.

Ces opérations sont idempotentes : on peut lancer les imports autant de fois qu’on veut. Lorsqu’elles sont lancées par l’administrateur, elles ne modifient pas le propriétaire des fichiers key3.db et cert8.db qui constituent la base de données des certificats de l’utilisateur. En revanche, le fait de modifier un profil Firefox ou Thunderbird alors qu’ils sont en cours d’utilisation donne un résultat imprévisible.

L’application Update Mozilla Profiles a comme composants essentiels :

• une commande updateprofiles qui effectue les recherches de profils Firefox et Thunderbird,
• le binaire certutil, distribué par Mozilla (voir le projet NSS). C’est la version 3.11 qui est utilisée dans Update Mozilla Profiles,
• les bibliothèques dynamiques utilisées par certutil,
• les scripts updateAllUsers et updateCurrentUser qui permettent de faire un imports des certificats CNRS2 soit pour l’ensemble des utilisateurs de la machine, soit seulement pour l’utilisateur courant.
• sur Linux, une commande import-ca-cnrs2 située dans /usr/bin. Elle permet avec l’option -a ou —all de lancer le script updateAllUsers et avec l’option -u ou —user de lancer le script updateCurrentUser.

L’idée générale de Update Mozilla Profiles est d’importer les certificats CNRS2, CNRS2-Plus, CNRS2-Standard en une fois pour tous les utilisateurs à l’aide du script updateAllUsers. Bien évidemment, au cours de la vie de la machine, d’autres utilisateurs apparaitront ou bien les utilisateurs existant créeront de nouveaux profils en oubliant les certificats CNRS2. Le script updateCurrentUser leur permettra de mettre à jour leurs profils Firefox et Thunderbird.

2. Syntaxe de la commande updateprofiles

La syntaxe générale est :
updateprofiles [-n] [-u] [-c certdir] [-p homedirs]

Option	Description
-n	Affiche la liste des profils Firefox et Thunderbird mais n’effectue aucune modification
-u	Limite les opérations aux profils Firefox et Thunderbird de l’utilisateur courant
-c certdir	Indique le répertoire contenant les certificats des autorités CNRS2, CNRS2-Standard et CNRS2-Plus
-p homedirs	(Windows seulement) Indique le nom du répetoire contenant les répertoires d’accueil des utilisateurs si ce n’est pas "c :\Documents and Settings". Cette option est ignorée si l’option "-u" est utilisée.
-s	Effectue les actions silencieusement. Par défaut, updateprofiles affiche les répertoires contenant des profils Firefox ou Thunderbird qu’il a détectés.

3. Update Mozilla Profiles pour Windows 2000 et Windows XP 32 bits

Utilisez l’installeur de Update Mozilla Profiles. Sans argument, il effectue l’installation des programmes et propose par défaut une mise à jour de tous les profils Firefox et Thunderbird de l’ensemble des utilisateurs de la machine. L’utilisateur peut désactiver cette mise à jour par une case à cocher.

On peut également utiliser l’installeur de Update Mozilla Profiles avec l’option "/S" qui permet une installation silencieuse.

Sur Windows, la recherche des profils d’utilisateurs se fait à partir du répertoire "c :\Documents and Settings" (ou tout autre si l’option "-p" a été spécifiée.

Note pour Windows Vista : L’installeur n’a pas été testé sur Windows Vista, mais il y a de grandes chances qu’il fonctionne. En revanche, il semble que les répertoires des utilisateurs aient été déplacés dans ’c :\Utilisateurs au lieu de c :\Documents and Settings. Si c’est le cas, alors la mise à jour automatique à l’installation et le script updateAllUsers ne peuvent pas fonctionner.

4. Update Mozilla Profiles pour Linux 2.6.x, i386, 32 bits

 Pour Fedora 5 à 8, CentOS 5.2, RedHat RHEL 4, l’installation se fait à l’aide d’un paquetage RPM.
 Pour Debian et Ubuntu, l’installation se fait à l’aide d’un paquetage Debian.
 Pour les systèmes qui ne supportent ni les RPM, ni les package Debian, reportez vous au paragraphe 5.

Après l’installation des programmes, le RPM balaie les répertoires d’accueil des utilisateurs à la recherche de leurs profils Firefox et Thunderbird et importe les autorités CNRS2.

La recherche des profils d’utilisateurs se fait à l’aide de la fonction getpwent(3) qui permet de déterminer la liste des utilisateurs déclarés sur la machine à partir de /etc/passwd. L’utilisation de NIS ou d’annuaire LDAP n’a pas été testée.

5. Update Mozilla Profiles pour d’autres systèmes

Pour fabriquer Update Mozilla Profiles sur d’autres systèmes, téléchargez la distribution. Recopiez le répertoire Linux ou Windows dan sun répetoire portant le nom de votre système d’exploitation.

Remplacez les binaires contenus dans ce répertoire par ceux qui conviennent à votre système d’exploitation :
 bin/updateprofiles : c’est le résultat de la compilation de updateprofiles.c.

• Linux : cc -O -o updateprofiles -DUNIX ../../src/updateprofiles.c
• Windows : \mingw\bin\gcc -O -o updateprofiles.exe -DWINDOWS ..\..\src\updateprofiles.c

 Certutil/bin/certutil : extrait de la distribution binaire de NSS 3.11

 Certutil/lib : extraits de la distribution binaire de NSS 3.11 et NSPR 4.6.1

6. Licences

 updateprofiles.c, updateAllUsers[.bat], updateCurrentUser[.bat], mozprofiles.spec et MozProfiles.nsi sont sous licence CeCILL.
 les répertoires Certutil/lib et Certutil/bin sont sous licence Mozilla Public License.

7.Liens utiles

NSS et NSPR
 ftp://ftp.mozilla.org/pub/security/nss/releases
 ftp://ftp.mozilla.org/pub/nspr/releases

NSIS
 http://nsis.source-forge.net

Contributions

Merci à Jean-Daniel Dubois, LP2MC, Grenoble pour l’inventaire des répertoires pouvant contenir des profils Mozilla et pour ses suggestions permettant de détecter davantage de magasins de certificats sur Linux.

Change Log

 26 mars 2009 : version initiale
 27 mars 2009 : modification de l’installeur Windows pour qu’il ne rende la main que lorsque toutes les installations sont terminées
 30 mars 2009 : ajout du package Debian
 2 avril 2009 : nouveaux packages RPM et DEB pour Linux : prend en compte un éventail plus large d’application Mozilla, y compris Epiphany, Kompozer, Galeon, Gnuzilla.

Téléchargements