Auteur Sujet: Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change  (Lu 3991 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 35 335
    • Twitter LaFibre.info
La mort d'Alice à commencée par son certificat TLS

Depuis le 16 octobre (Chrome 70) et le 11 décembre (Firefox 64), « les certificats TLS émis par Symantec ne sont plus reconnus par Firefox. Les opérateurs de sites web sont vivement encouragés à remplacer tout certificat Symantec TLS restant dès que possible ».

Le planning de cette opéraiton avait été annoncée en septembre 2017, laissant le temps à tous les sites concernés de changer de certificat.

Tous ? Non !

Notre "trublion des télécoms" a décidé de faire de la résistance : Le fournisseur d’accès Alice ADSL va bientôt totalement tirer sa révérence et Free a décidé de ne pas changer son certificat.



Depuis plusieurs semaines, les clients ne peuvent plus accéder à leur espace client :





La cause ?

Ce certificat :


vivien

  • Administrateur
  • *
  • Messages: 35 335
    • Twitter LaFibre.info
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #1 le: 01 janvier 2019 à 21:53:10 »
La solution pour les abonnés Alice ?

Envoyer un mail au support, mais là aussi tout est prévu :







vivien

  • Administrateur
  • *
  • Messages: 35 335
    • Twitter LaFibre.info
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #2 le: 01 janvier 2019 à 22:02:44 »
Voici le contenu des pages qui ne sont plus accessibles :





A noter que j'ai été sollicité par de la famille ce 1er janvier et que chez cette personne, Firefox ne permet pas d'ajouter une exception pour passer l’erreur...

Elle n'a plus accès à son adresse mail WorldOnline...

Ce webmail "Alice" est en effet aussi l'adresse d'entrée pour les clients, Infonie, LibertySurf, WorldOnline, Freesbee et Tiscali suite à la concentration du marché telecom.

On espère que Free va trouver rapidement une solution pour le webmail, pour que les clients ne perdent pas leur mail...

alain_p

  • Client Free fibre
  • *
  • Messages: 9 409
  • Delta S 10G-EPON sur Les Ulis (91)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #3 le: 01 janvier 2019 à 23:10:02 »
A noter que j'ai été sollicité par de la famille ce 1er janvier et que chez cette personne, Firefox ne permet pas d'ajouter une exception pour passer l’erreur...

Cela, c'est embêtant si cela se confirme. Il y a plein de sites web d'applications internes qui ont un certificat autosigné, ou obsolète (quand l'appli est obsolète). Chez moi, je viens de vérifier, je suis en version 64.0. Reste pour l'instant la version ESR...

Busyspider

  • Client Free adsl
  • *
  • Messages: 114
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #4 le: 02 janvier 2019 à 08:53:55 »
La solution pour les abonnés Alice ?

Envoyer un mail au support, mais là aussi tout est prévu :
Bonjour Vivien

Pour information, Free est au courant depuis le 15 décembre, je l'ai signalé directement (email au Dr du SI)  et mention en a été faite depuis le forum C-Alice qui suit ce souci depuis lors et se fait d'ailleurs attaquer par les abonnés Alice :(  qui nous prennent pour Free.
https://www.c-alice.org/phpBB2/connexion-zimbra-alice-webmail-non-securisee-vt23245.html

C'est en effet très invalidant pour les abonnés ex-Alice concernés
- Plus d'accès à leur email
- Plus d'accès surtout au compte abonné Alice et à leurs factures, y compris la facture de clôture du compte (fin d'Alice)
- Pus d'accès à la gestion des emails pour modifier les mots de passe.

Les palliatifs pour arriver à se connecter sont très ciblés, limités et ne fonctionnent de toutes manières pas pour accéder au compte Abonné.

Les emails concernés ne sont pas annoncés comme devant disparaitre, aucune information n'a été faite dans ce sens, on doit, on devrait donc pouvoir toujours à ce jour assurer leur gestion.

Le domaine Alice n'appartient pas à Free ( Telecom Italia en est toujours le propriétaire) mais Free en a gardé l'usage (et n'a pas annoncé son extinction) Ce sont juste les abonnements Alicebox Initial qui sont supprimés, tous migrés chez Free et officiellement depuis le 1er janvier 2019

Pour les domaines  Infonie, LibertySurf, WorldOnline, Freesbee : ils appartiennent  bien à Free qui les a acquis en Août 2008 lors du rachat de liberty Surf Group à Telecom Italia  (Alice France)

Tiscali n'existe plus (chez Alice-Free) en domaine depuis mars  2008, toutes les adresses Tiscali ont été changées par une adresse jumelle Alice à cette époque.

Ces détails ne changent rien au fait que tous les Ex-Alice (et pas uniquement ceux migrés récemment) ne peuvent plus gérer leurs informations email et compte en toute sécurité.

Faut en effet espérer que 2019 soit plus serein pour ces abonnés Alice qui vient de rejoindre les Freenautes.

Merci Vivien pour ce soutien aux Aliciens :D

vivien

  • Administrateur
  • *
  • Messages: 35 335
    • Twitter LaFibre.info
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #5 le: 02 janvier 2019 à 08:56:04 »
Le domaine Alice n'appartient pas à Free ( Telecom Italia en est toujours le propriétaire) mais Free en a gardé l'usage (et n'a pas annoncé son extinction)
Cela n’empêche pas Free d'utiliser Let’s Encrypt pour avoir un certificat valide....

A noter que j'ai été sollicité par de la famille ce 1er janvier et que chez cette personne, Firefox ne permet pas d'ajouter une exception pour passer l’erreur...
Cela, c'est embêtant si cela se confirme. Il y a plein de sites web d'applications internes qui ont un certificat autosigné, ou obsolète (quand l'appli est obsolète). Chez moi, je viens de vérifier, je suis en version 64.0. Reste pour l'instant la version ESR...
Ma tante (celle qui as l'adresse mail @worldonline.fr) est sous Ubuntu 18.04 LTS avec Firefox 64 et Firefox ne lui propose pas d'exception.

Mon PC, sous Ubuntu 18.10 avec Firefox 64 lui propose de faire une exception...

Je n'ai pas compris pourquoi ce fonctionnement différent.

alain_p

  • Client Free fibre
  • *
  • Messages: 9 409
  • Delta S 10G-EPON sur Les Ulis (91)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #6 le: 02 janvier 2019 à 16:20:46 »
J'ai lu sur C-Alice que l'accès était possible sous windows 10 avec Edge. Sous windows 7, qui n'a pas Edge, ce serait bien de tester avec Internet Explorer (qui est toujours présent aussi sous windows 10, même si pas mis en avant). A priori, les certificats Symantec ont été révoqués par Firefox, mais ce n'est pas le cas avec Edge, donc peut-être aussi avec IE ?

buddy

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 10 921
  • Alpes Maritimes (06)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #7 le: 02 janvier 2019 à 17:10:46 »
c'est réparé ;)
du moins ça marche sous windows 10 firefox et Chrome (le Certificat date du 31/12/2018)
Mais il a été mis partiellement ? https://www.ssllabs.com/ssltest/analyze.html?d=espace-abonne.aliceadsl.fr (chaine incomplète )

vivien

  • Administrateur
  • *
  • Messages: 35 335
    • Twitter LaFibre.info
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #8 le: 02 janvier 2019 à 17:46:02 »
Exact, un nouveau certificat, d'une durée de validité de 2 ans chez le même prestataire a été mis en place :



La chaîne incomplète, c'était déjà le cas avant, oui c'est un pb de configuration mais ce n'est pas une régression par rapport à la situation de septembre 2018.

Pour le webmail, la configuration est bonne :




Ilyazam

  • Client Free fibre
  • *
  • Messages: 113
  • Cholet (49)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #9 le: 03 février 2019 à 23:30:38 »
Cela n’empêche pas Free d'utiliser Let’s Encrypt pour avoir un certificat valide....
Cela, c'est embêtant si cela se confirme. Il y a plein de sites web d'applications internes qui ont un certificat autosigné, ou obsolète (quand l'appli est obsolète). Chez moi, je viens de vérifier, je suis en version 64.0. Reste pour l'instant la version ESR...

Ma tante (celle qui as l'adresse mail @worldonline.fr) est sous Ubuntu 18.04 LTS avec Firefox 64 et Firefox ne lui propose pas d'exception.

Mon PC, sous Ubuntu 18.10 avec Firefox 64 lui propose de faire une exception...

Je n'ai pas compris pourquoi ce fonctionnement différent.
Normalement FIrefox permet toujours d'ajouter des exceptions pour les warnings SSL (du genre certificat autosigné ou expiré)
La ou ça se complique c'est dans certains cas (certificats révoqués ou mauvais sites + algorithmes dépréciés) : j'ai eu le cas au boulot, j'avais réussi à m'en sortir en désactivant le check OCSP et peut-être d'autres modifs, il faudrait que je vérifie la semaine prochaine.

Je viens de trouver le site https://badssl.com/ qui permet de tester son navigateur face à différents types de problèmes de certificats.
Par exemple pour un certificat révoqué :
https://revoked.badssl.com/
=> KO sans ajout d'exception sur Firefox 65 et Chromium 71

Pour un problème de HPKP (Key pinning) :
https://pinning-test.badssl.com/
=> KO sans ajout d'exception sur Firefox 65 mais OK sur Chromium 71

buddy

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 10 921
  • Alpes Maritimes (06)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #10 le: 04 février 2019 à 11:00:50 »

Pour un problème de HPKP (Key pinning) :
https://pinning-test.badssl.com/
=> KO sans ajout d'exception sur Firefox 65 mais OK sur Chromium 71

Pour chromium c'est normal il est au moins deprecated et bientôt supprimé (si ce n'est pas déjà fait)

Electrocut

  • Client Orange Fibre
  • *
  • Messages: 508
  • Pont-Péan (35)
Alice: certificat TLS refusé depuis plusieurs semaines mais rien ne change
« Réponse #11 le: 04 février 2019 à 11:14:21 »
Je viens de trouver le site https://badssl.com/ qui permet de tester son navigateur face à différents types de problèmes de certificats.
Par exemple pour un certificat révoqué :
https://revoked.badssl.com/
=> KO sans ajout d'exception sur Firefox 65 et Chromium 71

Pour un problème de HPKP (Key pinning) :
https://pinning-test.badssl.com/
=> KO sans ajout d'exception sur Firefox 65 mais OK sur Chromium 71
Pratique !

Note : les 2 sites chargent sans problème sur Chrome pour Android, qui privilégie la rapidité à la sécurité : absence de vérification de la révocation du certificat, que ça soit via OCSP ou téléchargement de liste de révocation ...

 

Mobile View