Auteur Sujet: Les erreurs à ne pas faire quand on bascule son site en https  (Lu 7395 fois)

0 Membres et 1 Invité sur ce sujet

alain_p

  • Client Free fibre
  • *
  • Messages: 5 844
  • Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #36 le: 30 mai 2017 à 20:47:15 »
Je suis le seul à ne pas avoir de problème affiché avec le certificat de l'Arcep ? Ce soir, je suis rentré chez moi, et toujours sous windows 10 (cette fois 1703), toujours pas d'avertissement ni avec Firefox, ni avec Chrome, ni avec Edge.

Vu le côté aléatoire du problème, je me suis même demandé s'il n'y avait pas deux serveurs ARCEP, l'un bien configuré, l'autre non (load balancing ?).
« Modifié: 30 mai 2017 à 22:24:10 par alain_p »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 525
  • Paris (15ème)
    • MilkyWan
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #37 le: 30 mai 2017 à 20:49:06 »
Pas de souci ici sous Canary/macOS

vivien

  • Administrateur
  • *
  • Messages: 29 657
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #38 le: 30 mai 2017 à 21:53:37 »
Il n'y a qu'un seul serveur : 81.200.191.17

Je suis intéressé pour avoir d'autres retour de Firefox et de navigateurs sous Android.

Ce que je trouve étonnant, c'est que Apache a ou n'a pas les certificat intermédiaire.

underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 5 471
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #39 le: 30 mai 2017 à 23:40:29 »
Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.

Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 793
  • FTTH 100 Mb/s sur Paris (75)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #40 le: 31 mai 2017 à 01:03:32 »
Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.
...Idem pour moi avec Firefox 53.0.3 sous Win7 ! 

vivien

  • Administrateur
  • *
  • Messages: 29 657
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #41 le: 31 mai 2017 à 07:29:08 »
J'ai l'impression que le navigateur accepte la connexion, si il a déjà reçu le certificat GlobalSign Extended Validation CA - SHA256 - G3 via un autre site web.

Comment vider le cache des certificats reçus du navigateur ?

Voici le résultat avec OpenSSL qui confirme unable to verify the first certificate


$ openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
issuer=/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2862 bytes and written 461 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 6FBA1864663578BF7426B34E32F7FFC060B72F8048727DC2EC57D502EE33FC6C
    Session-ID-ctx:
    Master-Key: 85FAC7FCFD92A8DA614BFEB00AD8948EDACF721F01A1A0F494FB0564B18E39755E7FA92398FBE50BE7B9E865FCD860E7
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 12 2d fc 65 19 4f fe 77-c8 16 1c 9e 24 5f 38 3f   .-.e.O.w....$_8?
    0010 - f3 67 43 6b 23 f1 e2 73-b7 da e1 c8 ea 82 7e ce   .gCk#..s......~.
    0020 - a4 58 99 1a 2a fb b1 41-5e 00 9e fb 56 09 b9 9b   .X..*..A^...V...
    0030 - bb 3f 62 f2 fe 58 04 df-fc 0c 6e cb ba 57 01 1e   .?b..X....n..W..
    0040 - 3d 06 81 e2 32 73 1a ba-c7 f3 a8 27 0b 37 9a bb   =...2s.....'.7..
    0050 - 27 c1 9c 99 b5 a1 77 f4-64 b6 15 c7 f8 02 e4 2f   '.....w.d....../
    0060 - 48 54 ab fc 3a 54 3d d6-bd d5 e7 1a b1 e6 e8 83   HT..:T=.........
    0070 - cf 68 2e ab 46 6d 7f 0d-95 bb 6b ad 94 a7 6a 9a   .h..Fm....k...j.
    0080 - fe 2f ac c9 4e 39 05 09-04 f1 a6 3e 4a f3 bf 20   ./..N9.....>J..
    0090 - 0f 3c 1b 91 b9 36 ed de-9b 2b 1a ec 8a f3 7c d9   .<...6...+....|.
    00a0 - 73 41 0f 75 64 6a 32 4a-fc ec 67 86 9a 71 11 82   sA.udj2J..g..q..
    00b0 - 0c 5f 36 9b f2 6e 46 10-e5 15 56 db d8 91 e6 22   ._6..nF...V...."
    00c0 - bb 85 d1 fa 96 36 c0 bd-6d 95 24 fb b8 ac e9 b8   .....6..m.$.....

    Start Time: 1496207189
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

alain_p

  • Client Free fibre
  • *
  • Messages: 5 844
  • Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #42 le: 31 mai 2017 à 07:55:36 »
Idem sous windows 10, sur un PC qui accepte le certificat :

>openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr
Loading 'screen' into random state - done
CONNECTED(000001EC)
OCSP response: no response sent
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=27:certificate not trusted
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/1.3.6.1.4.1.311.60.2.1.3=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
....

Je n'ai mis que le début.

vivien

  • Administrateur
  • *
  • Messages: 29 657
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #43 le: 31 mai 2017 à 09:25:30 »
J'ai un retour d'OpenSSL HS return code: 21 (unable to verify the first certificate) sur un PC Linux qui as accès au site de l'ARCEP avec Firefox (probablement car le navigateur a déjà en cache le certificat manquant)

D'autres changements coté ARCEP : le site https://www.monreseaumobile.fr/ qui était hébergé sur le même serveur que l'ARCEP est passé chez OVH en mutualisé et le certificat payant a donc été remplacé par Let's Encrypt au passage.

Lui est bien configuré (en même temps pour du mutualisé, c'est OVH qui as la main :

$ openssl s_client -connect www.monreseaumobile.fr:443 -status -servername www.monreseaumobile.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = monreseaumobile.fr
verify return:1
---
Certificate chain
 0 s:/CN=monreseaumobile.fr
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIGHzCCBQegAwIBAgISA4UjHWTkgR5Jwr2PL+nclma1MA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA1MzAxNzExMDBaFw0x
NzA4MjgxNzExMDBaMB0xGzAZBgNVBAMTEm1vbnJlc2VhdW1vYmlsZS5mcjCCAiIw
DQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAKAcmGgk5UeI8Xe/OttYSWKdg5l8
8WJN5s+DzcJxbZbJ3IUfbPD+dCh8yAXEZ3feLmqY6rhRRmiTb6XwQEEpEJCiksqx
XD3kX3gPYwbgcy0FCItyiJ8EdCl/4B5FNBE+EwLbODGfMYs9Y4nG81SqY9D3CgPA
ro77DsrCQErIS39NJXxoqwPjp4GVxjuA70gB8/wEnAxm0PxRA18gfVJsL8ZxtT75
c1lXhJMEgSloL7qJ4BFKN0syczoYnJy3kkp0z4pr2F6R9zBcxh2bIdeTr2KiWC7J
Du0YQ7weL8L70aJLKpBoc4/9iwJoSanHBWNREXum7ZhmDBzGMw5ek4C55e65/kEB
VETgz+u7oMZcb09cx1Q1IsIRqEkuv/asu7vs9+Jd573OeA7cuhcENx+9baH8u/iK
Du3zzBE9ExRo+snvw9JNioqBxP/aFfJ5yJsU6w3XAP6qEdV451smmfo3WiYT/ZfB
ZgegOCzbVKgHmwbRNFlqkVy5ba4D1QnxZKYi8rzuM7Tlr8EZFQCU0EgJkcNJTh/h
igowq5tjP6jrLH3fBZ0E9R/NeYvQlr83iE2szAO93XJPRwnvrZIbHxbPT4oQpMnt
Sc+SmFwjcq0qYk5aY9SnyTDnD6rYMlPMZ06Zm70N0kt1hezd3/PfbEEAgqF1bbuD
PEwAGlH2ZX1s6dAdAgMBAAGjggIqMIICJjAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0l
BBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYE
FB7PiJWnHHOUTAbkN7/6D/XBDuwxMB8GA1UdIwQYMBaAFKhKamMEfd265tE5t6ZF
Ze/zqOyhMG8GCCsGAQUFBwEBBGMwYTAuBggrBgEFBQcwAYYiaHR0cDovL29jc3Au
aW50LXgzLmxldHNlbmNyeXB0Lm9yZzAvBggrBgEFBQcwAoYjaHR0cDovL2NlcnQu
aW50LXgzLmxldHNlbmNyeXB0Lm9yZy8wNQYDVR0RBC4wLIISbW9ucmVzZWF1bW9i
aWxlLmZyghZ3d3cubW9ucmVzZWF1bW9iaWxlLmZyMIH+BgNVHSAEgfYwgfMwCAYG
Z4EMAQIBMIHmBgsrBgEEAYLfEwEBATCB1jAmBggrBgEFBQcCARYaaHR0cDovL2Nw
cy5sZXRzZW5jcnlwdC5vcmcwgasGCCsGAQUFBwICMIGeDIGbVGhpcyBDZXJ0aWZp
Y2F0ZSBtYXkgb25seSBiZSByZWxpZWQgdXBvbiBieSBSZWx5aW5nIFBhcnRpZXMg
YW5kIG9ubHkgaW4gYWNjb3JkYW5jZSB3aXRoIHRoZSBDZXJ0aWZpY2F0ZSBQb2xp
Y3kgZm91bmQgYXQgaHR0cHM6Ly9sZXRzZW5jcnlwdC5vcmcvcmVwb3NpdG9yeS8w
DQYJKoZIhvcNAQELBQADggEBAGvxW4VA2Cr8N8v3UX8L7NHhd0WAsj0swKluWSDD
M2nciyIVeaoLf57OqgmJ/hnAhlyD2NI8XxiRleCvZPTl59rkG+T1vSPzFAyzooD9
cV48PDjW+J7DKx1KjJoZfSEl7QJTMYTe9IZVE2tGlkz2X/SIsfzBiTwJ7vXkEx2j
N7LU+X5ohNDSSKYwvORbmiYZZs/FX8qwDlW+HjoYVd9Tr7u9SU8EVXxRSGjpMVHg
RvQw4t7UfX8skZGB+30Buk7/4QFj+0ueM/55aiRR2qsl62QDM5E0OADuopcnk2LP
LsHkNdWp+hJD3qBf99oH3Ze0iNJtV1z1hsNgOAwXe/U6C2M=
-----END CERTIFICATE-----
subject=/CN=monreseaumobile.fr
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-384, 384 bits
---
SSL handshake has read 3552 bytes and written 503 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: A2E427FD05F0DB1811193B1AA31D9B9FF490DBCF2EA014BF9FD97788DA55EFA6
    Session-ID-ctx:
    Master-Key: C884054BDEEDBCA809B798E9742BDE3447929294242F7E1484961E294BDAFE5ECE91BFD73F18B077BA16D69C81565842
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1496215289
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---



Le troisième site de l'ARCEP, https://www.telecom-infoconso.fr/ a été mis chez un hébergeur allemand 1&1 avec un certificat Symantec :

Lui aussi est ok :

$ openssl s_client -connect www.telecom-infoconso.fr:443 -status -servername www.telecom-infoconso.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2008 VeriSign, Inc. - For authorized use only", CN = VeriSign Universal Root Certification Authority
verify return:1
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = Symantec Basic DV SSL CA - G2
verify return:1
depth=0 CN = www.telecom-infoconso.fr
verify return:1
---
Certificate chain
 0 s:/CN=www.telecom-infoconso.fr
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2008 VeriSign, Inc. - For authorized use only/CN=VeriSign Universal Root Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFojCCBIqgAwIBAgIQLSd9y4NseGcbOqsWRq7QtzANBgkqhkiG9w0BAQsFADCB
lDELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFFN5bWFudGVjIENvcnBvcmF0aW9uMR8w
HQYDVQQLExZTeW1hbnRlYyBUcnVzdCBOZXR3b3JrMR0wGwYDVQQLExREb21haW4g
VmFsaWRhdGVkIFNTTDEmMCQGA1UEAxMdU3ltYW50ZWMgQmFzaWMgRFYgU1NMIENB
IC0gRzIwHhcNMTcwMTE4MDAwMDAwWhcNMTgwMTE4MjM1OTU5WjAjMSEwHwYDVQQD
DBh3d3cudGVsZWNvbS1pbmZvY29uc28uZnIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCDCVAGYBcWnetkI8cGPtpjWWZWz4LcWXC0Q+iOvo9Jv/YURcq0
SyGWa+jYquuvX2qlm29u0Le+afzHH28VbXDeeJxvIpj5SGoJgPc1u4bFqO4xX5GI
Td6Fg5Pjmg0PWyAxbGD1enZTuO/lryYY/Te5Hv68q2vXaIVRFed9QczQ3B/n/Qax
VPzjGmWpCk2BNNiIF1CB1/DjqjfkmZi7PobneRwSKnaSp2meipX24sbnlTiZgFXZ
d4VZpNlJjbt2VffqPzsPL4xr6q5Iy+cIq8u/sY3CAbf73vrJ2KEdw5L3b/g0TVuH
c56RIa3HypRGFEXN1UhA3EJKmeUTJ/LWnIq3AgMBAAGjggJeMIICWjA5BgNVHREE
MjAwghh3d3cudGVsZWNvbS1pbmZvY29uc28uZnKCFHRlbGVjb20taW5mb2NvbnNv
LmZyMAkGA1UdEwQCMAAwYQYDVR0gBFowWDBWBgZngQwBAgEwTDAjBggrBgEFBQcC
ARYXaHR0cHM6Ly9kLnN5bWNiLmNvbS9jcHMwJQYIKwYBBQUHAgIwGQwXaHR0cHM6
Ly9kLnN5bWNiLmNvbS9ycGEwHwYDVR0jBBgwFoAUyqxd4ZAv8e+M1J81AeEBO6DO
wXcwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcD
AjBXBggrBgEFBQcBAQRLMEkwHwYIKwYBBQUHMAGGE2h0dHA6Ly9oZC5zeW1jZC5j
b20wJgYIKwYBBQUHMAKGGmh0dHA6Ly9oZC5zeW1jYi5jb20vaGQuY3J0MIIBBAYK
KwYBBAHWeQIEAgSB9QSB8gDwAHYA3esdK3oNT6Ygi4GtgWhwfi6OnQHVXIiNPRHE
zbbsvswAAAFZsoonHQAABAMARzBFAiAzqBNrLhcR7wrC2XFo/ThNjpxbOOJy97Kq
84H+IGOUMwIhAKRrgpYRrb357zpIG4JfLxkqUkxC1Vi2QgD6SlmGFySvAHYApLkJ
kLQYWBSHuxOizGdwCjw1mAT5G9+443fNDsgN3BAAAAFZsoonLAAABAMARzBFAiBt
/PlVm2oBObD9W6KHz/VeYBewF2CoYBzKkNqAUKt4RwIhAO4m0mGfe1fSLUs0cCtz
XUxYj5a2epbC7izuaKeG/ULBMA0GCSqGSIb3DQEBCwUAA4IBAQBGfBEKkqjIDPb9
rFqpsxoqikuXJSUvDnPN4qiFWinX2q04bVQa01pVTd0gh3L+1J5/io2TPYe7gNS9
n5f8KMfL94wCGJqhns3RtyiISuo+fUYxCEzAZuQWSZI+Gv8q2YnjnPT+Z9TbxlDm
iXrwak4z9p+uTUgYvp2jqZVRNpuNt7FnrIH9DGZAYQbTyRMF92kpQl7RY/FXFVnH
ldseMJXbxqmutirDDRt4DhJhqU21DeDUtG7cjD2Xee3vrplnG+LRuoMV6y5mbOkt
O3bz/NELtJgLsPnoXHly/cdCt++ku93T86/y4Y5FIp71UO3ZmrdtmqQwaYCHeLv2
TKLxfBds
-----END CERTIFICATE-----
subject=/CN=www.telecom-infoconso.fr
issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3532 bytes and written 473 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: DDE1D843D8318BB91E6B01799CEF5D2BB4A3A88F68C485CDF19EA0A286515E38
    Session-ID-ctx:
    Master-Key: 5F2BA58FB26471BCF678AA93071F6AA02E75D148869B4DE55D46BD96256340FAF51D81BAE97F1FF005E36FD955D3CA1F
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - a9 ba 03 e0 37 e3 af f8-f2 87 51 c2 46 a5 e6 93   ....7.....Q.F...
    0010 - 52 c9 ad 9f 0a 4d 23 9d-97 d2 2f 62 46 ad f2 c3   R....M#.../bF...
    0020 - 44 59 67 84 c4 52 8f fd-40 bb 6c 23 22 71 90 d1   DYg..R..@.l#"q..
    0030 - dd f6 89 b2 13 8c df d4-9f e9 65 4a fe 2c 16 57   ..........eJ.,.W
    0040 - 2f 6c a2 4d c5 44 2e f8-19 ed 2c d1 c4 1b f8 d1   /l.M.D....,.....
    0050 - 97 f7 41 51 97 d3 f1 a5-8e 7c 7c 16 3e 72 e7 7e   ..AQ.....||.>r.~
    0060 - 82 82 0b 6e 02 ce 8a f8-28 55 e2 92 34 5b 2a 6f   ...n....(U..4[*o
    0070 - a0 1c 32 12 48 f8 2d 5b-6f 52 85 96 89 6e 9b 82   ..2.H.-[oR...n..
    0080 - 8c 54 d7 3b ce 06 09 78-67 58 58 1c 23 72 fa f5   .T.;...xgXX.#r..
    0090 - 44 76 39 78 ed 9a 76 7e-61 c9 52 d1 f1 ea 66 f5   Dv9x..v~a.R...f.
    00a0 - 06 e0 55 99 ca b3 e6 90-61 ce a2 e1 d3 6e 4b 15   ..U.....a....nK.
    00b0 - 49 08 0e 26 79 f6 65 bd-da 0a 79 a1 3e 25 0b 19   I..&y.e...y.>%..
    00c0 - 0f 05 52 58 13 1f 8d 5f-9d 87 a2 f1 79 ff ce d0   ..RX..._....y...

    Start Time: 1496215726
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

vivien

  • Administrateur
  • *
  • Messages: 29 657
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #44 le: 11 juin 2017 à 18:51:44 »
L'ARCEP a de nouveau changé de certificat SSL.

1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

2 points positif :
- Le serveur Web est bien paramétré
- Le site est forcé en https via une redirection

Autre changement : les paramètres SSL sont agressifs et imposent le TLS 1.2, ce qui bloque les smartphones Android inférieur a Android 4.4.
Les version d'Internet Explorer à INtenret Explorer 11 sont également incapable d'aller sur le site de l'ARCEP.
Coté boot, j'ai bien peur que cela bloque les bot basé sur Windows server 2012. Cette version ne supporte pas TLS 1.2 et n'a pas d'Internet Explorer 11 disponible.

J'ai commencé a analyser les log de LaFibre.info, je pense ne pas pouvoir mettre une configuration aussi agressive avant fin 2018.



Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 525
  • Paris (15ème)
    • MilkyWan
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #45 le: 11 juin 2017 à 19:55:51 »
1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

Mais, je, euh, pourquoi ?  :o

FloBaoti

  • Client Free adsl
  • *
  • Messages: 428
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #46 le: 12 juin 2017 à 10:19:52 »
Mais, je, euh, pourquoi ?  :o
Ça me va perso, c'est de l'argent public dépensé pour rien.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 525
  • Paris (15ème)
    • MilkyWan
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #47 le: 12 juin 2017 à 12:46:20 »
ils en ont acheté deux du coup...

 

Mobile View