Java 7u51 n'acceptera pas JNLP avec un certificat auto-signé?
J'ai lu sur le Web que Java version 7u51 (qui sortira en janvier 2014) n'acceptera plus Java Webstart applications auto-signées par moi-même).
Est-ce vrai?
Dans le cas où cela est vrai, ai-je la possibilité de créer une solution de contournement pour mon application JNLP, afin de pouvoir démarrer l'application même après janvier 2014?
J'ai vu que l'option de supprimer les avertissements de sécurité en raison de l'utilisation d'un certificat auto-signé a été supprimée en 7u40.
Oui c'est vrai. Cette entrée de blog d'Oracle a les détails.
Si je comprends bien, vous avez trois options pour continuer à travailler:
- Signez votre application avec un certificat de confiance
- Normalement, cela se fait en acquérant un certificat auprès de l'un des fournisseurs dont les certificats racine sont approuvés par Java par défaut .
- Vous pouvez également tiliser un certificat auto-signé si votre communauté d'utilisateurs est contrôlée (par exemple, tous au sein d'un réseau d'entreprise géré, ou tous les étudiants dans la même introduction à la classe de programmation).
- Demandez à vos utilisateurs finaux de configurer leurs machines pour qu'elles fassent confiance à votre application bien qu'elle soit auto-signée
- via ensembles de règles de déploiement (l'intention d'Oracle est que les DRS ne doivent être utilisés que dans les environnements d'entreprise, où vous pouvez diffuser cette mise à jour de configuration via une technologie de gestion centralisée)
- via la liste des sites d'exception (je pense que cela est destiné à être analogue aux DRS, mais pour les utilisateurs finaux individuels sans gestion centralisée)
- Demandez à vos utilisateurs de réduire leur curseur de sécurité de Élevé (par défaut) à Moyen
Voir aussi ma question sur l'obtention de versions préliminaires de ces mises à jour pour tester avec.
Oracle vient d'annoncer qu'une nouvelle fonctionnalité appelée Exception Site List sera disponible dans 7u51.
Si cela signifie ce que je pense cela signifie, alors les applications internes qui signent actuellement elles-mêmes leurs pots peuvent simplement demander à leurs utilisateurs de mettre l'application en liste blanche sans que l'utilisateur n'ait rien à faire " compliqué "pour un utilisateur final, comme l’importation d’un certificat (par exemple).
MISE À JOUR:
Java 7u51 vient de sortir et je peux confirmer que la solution Exception Site List fonctionne assez facilement. Accédez simplement à Java Panneau de configuration -> Sécurité -> Modifier la liste des sites et ajoutez l'URL de l'application JNLP auto-signée à la liste des emplacements).
C'est pour Windows UNIQUEMENT
Accédez à Java sous Windows, "Java configure ", choisissez l'onglet" Security "et choisissez" Edit Site List ", ajoutez votre URL auto-signée dans la liste.
Parfois, vous devez ajouter l'URL complète de l'application Java dans la liste pour que cela fonctionne, vous ne pouvez pas simplement ajouter https://xxx.abc.com, devrait être https://xxx.abc.com/application_blah_blah au lieu.
Après avoir ajouté l'URL, redémarrez l'application Java en saisissant cette URL dans le navigateur, cela fonctionnera.
Est-ce vrai?
Je ne sais pas, mais avait entendu la même chose. Quelle est votre source?
Dans le cas où cela est vrai, ai-je la possibilité de créer une solution de contournement pour mon application JNLP, afin de pouvoir démarrer l'application même après janvier 2014?
La seule façon réaliste de déployer du code dans cette situation est de le faire signer à l'aide d'un certificat numérique d'une autorité de certification (c'est-à-dire signé, mais pas auto-signé).
Toute solution de contournement serait un bogue de sécurité. Donc, si vous en trouvez un, veuillez nous le faire savoir afin que nous puissions générer un rapport de bogue et le corriger.
Consultez Java aide officielle pour autoriser l'accès:
J'ai une application auto-signée qui doit simplement être exécutée jusqu'à la fin du semestre (décembre), donc je ne serai pas affecté par la date limite de janvier. Cependant, nous rencontrons des problèmes même avec les versions antérieures. Cela vient de commencer la semaine dernière (peut-être en raison d'une sorte de mise à jour automatique). Le JRE est construit 40.
J'ai modifié le fichier manifeste pour inclure les attributs requis d'autorisation et de base de code, puis j'ai re-signé le pot, mais cela fait toujours apparaître un bloc de sécurité dans notre école.
Quelqu'un peut-il suggérer d'autres mesures à prendre? Un certificat commercial est-il ma seule option?
Merci, Nina
pour moi .. le site Web auto-signé fonctionne lorsque le paramètre de sécurité est modifié sur Moyen ..