Auteur Sujet: Les erreurs à ne pas faire quand on bascule son site en https (Lu 18745 fois)

alain_p · « **Réponse #36 le:** 30 mai 2017 à 20:47:15 »

Je suis le seul à ne pas avoir de problème affiché avec le certificat de l'Arcep ? Ce soir, je suis rentré chez moi, et toujours sous windows 10 (cette fois 1703), toujours pas d'avertissement ni avec Firefox, ni avec Chrome, ni avec Edge.

Vu le côté aléatoire du problème, je me suis même demandé s'il n'y avait pas deux serveurs ARCEP, l'un bien configuré, l'autre non (load balancing ?).

Hugues · « **Réponse #37 le:** 30 mai 2017 à 20:49:06 »

Pas de souci ici sous Canary/macOS

vivien · « **Réponse #38 le:** 30 mai 2017 à 21:53:37 »

Il n'y a qu'un seul serveur : 81.200.191.17

Je suis intéressé pour avoir d'autres retour de Firefox et de navigateurs sous Android.

Ce que je trouve étonnant, c'est que Apache a ou n'a pas les certificat intermédiaire.

underground78 · « **Réponse #39 le:** 30 mai 2017 à 23:40:29 »

Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.

Marco POLO · « **Réponse #40 le:** 31 mai 2017 à 01:03:32 »

Citation de: underground78 le 30 mai 2017 à 23:40:29

Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.

...Idem pour moi avec Firefox 53.0.3 sous Win7 !

vivien · « **Réponse #41 le:** 31 mai 2017 à 07:29:08 »

J'ai l'impression que le navigateur accepte la connexion, si il a déjà reçu le certificat GlobalSign Extended Validation CA - SHA256 - G3 via un autre site web.

Comment vider le cache des certificats reçus du navigateur ?

Voici le résultat avec OpenSSL qui confirme unable to verify the first certificate

$ openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr CONNECTED(00000003) OCSP response: no response sent depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3 --- Server certificate -----BEGIN CERTIFICATE----- MIIIYzCCB0ugAwIBAgIMdtVfNd4zy6sFEytKMA0GCSqGSIb3DQEBCwUAMGIxCzAJ BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMTgwNgYDVQQDEy9H bG9iYWxTaWduIEV4dGVuZGVkIFZhbGlkYXRpb24gQ0EgLSBTSEEyNTYgLSBHMzAe Fw0xNzA1MDQxMjA3MDJaFw0xNzEwMTcxODA0MThaMIHqMRowGAYDVQQPDBFHb3Zl cm5tZW50IEVudGl0eTEUMBIGA1UEBRMLMTEwIDAwMCAzNTMxEzARBgsrBgEEAYI3 PAIBAxMCRlIxCzAJBgNVBAYTAkZSMRYwFAYDVQQIEw1pbGUgZGUgZnJhbmNlMQ4w DAYDVQQHEwVwYXJpczEcMBoGA1UECRMTNyBzcXVhcmUgTWF4IEh5bWFuczEKMAgG A1UECwwBKjErMCkGA1UEChMiQVVUT1JJVEUgUkVHVUwgQ09NTSBFTEVDVFJPIFBP U1RFUzEVMBMGA1UEAxMMdnBuLmFyY2VwLmZyMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAuHoOk3b1vPEJSq2CkrvFvUtLPTcxK4G8TUtVmBgV7nK4CRk0 k26NBq4gjZwIP6kPGp4I2lbwhZUN7gs9Y9/ZtyDEOUvs3y4yclvkXlzIjWqpvzRy yvuvpy3fXw/x0mJS5pXERWsXPh2mZCGonzGJIozitPDikP4L/cz6pn4fgV2d2DD/ KNn9GmZhJ/wbdo1kPFxLdTegF+ycxoQ8Z8RdWuj3S5mdOyXiQE6c+NHnvOmAVTgy BtSuW7mW5IHaZHiuKabiU8tJOyv311HEG1VaS0U5H2Npw9/dgVCdSjsxwf9ugz0K 1kqc4+iiYbcSM+P5+p6doKMGFhMvZa0354O10wIDAQABo4IEjjCCBIowDgYDVR0P AQH/BAQDAgWgMIGWBggrBgEFBQcBAQSBiTCBhjBHBggrBgEFBQcwAoY7aHR0cDov L3NlY3VyZS5nbG9iYWxzaWduLmNvbS9jYWNlcnQvZ3NleHRlbmR2YWxzaGEyZzNy My5jcnQwOwYIKwYBBQUHMAGGL2h0dHA6Ly9vY3NwMi5nbG9iYWxzaWduLmNvbS9n c2V4dGVuZHZhbHNoYTJnM3IzMFUGA1UdIAROMEwwQQYJKwYBBAGgMgEBMDQwMgYI KwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkv MAcGBWeBDAEBMAkGA1UdEwQCMAAwRQYDVR0fBD4wPDA6oDigNoY0aHR0cDovL2Ny bC5nbG9iYWxzaWduLmNvbS9ncy9nc2V4dGVuZHZhbHNoYTJnM3IzLmNybDCB3QYD VR0RBIHVMIHSggx2cG4uYXJjZXAuZnKCD21vYmlsZS5hcmNlcC5mcoIRZXNwZWN0 cmUuYXJjZXAuZnKCEWV4dHJhbmV0LmFyY2VwLmZyghVvYnNlcnZhdG9pcmUuYXJj ZXAuZnKCFmNvbnNvbW1hdGV1cnMuYXJjZXAuZnKCDG93YS5hcmNlcC5mcoINbWFp bC5hcmNlcC5mcoIVYXV0b2Rpc2NvdmVyLmFyY2VwLmZyggxzZWcuYXJjZXAuZnKC DG1hZy5hcmNlcC5mcoIMd3d3LmFyY2VwLmZyMB0GA1UdJQQWMBQGCCsGAQUFBwMB BggrBgEFBQcDAjAdBgNVHQ4EFgQUQLqOqP76cY9Gz5BYkYiGcge8bigwHwYDVR0j BBgwFoAU3bPnbagu6MVObs905nU8lBXO6B0wggH1BgorBgEEAdZ5AgQCBIIB5QSC AeEB3wB1AN3rHSt6DU+mIIuBrYFocH4ujp0B1VyIjT0RxM227L7MAAABW9NbO5kA AAQDAEYwRAIgWjOH3h8dBbVpHNxuJvJPN+UpHlmSWnCw45PK0VmjM88CIFAI6EDC ednyK5TwhtNMpCfu4MmwH6yTwhZIrwxW5Zr/AHcAVhQGmi/XwuzT9eG9RLI+x0Z2 ubyZEVzA75SYVdaJ0N0AAAFb01s7uQAABAMASDBGAiEA5DzYXLrQdaPpl0B9xQmC 0NZVjnEapovsoKWRkrenbaACIQC6v2cW8Q/ccJXhuKagRLSLqvvp8RGKMkx6IhzY pYqhywB1AKS5CZC0GFgUh7sTosxncAo8NZgE+RvfuON3zQ7IDdwQAAABW9NbPtYA AAQDAEYwRAIgZw45bg/L/9AQq1dDJhRmOEuvdVf3k6iDMsBjzdn1CE8CIH8W1VVJ ALlRbbfFNuKbyLNn49j9pp//aDQrm4QYBNSpAHYA7ku9t3XOYLrhQmkfq+GeZqMP fl+wctiDAMR7iXqo/csAAAFb01tBqgAABAMARzBFAiEAr2gRxIZch65FSisLCbLi fL2mf7rJczdZ2x1gwZ5P0OwCIFcKuxnuvR+ToKDXXurhqU+JPkKCXe/NQosJXqkA GxQqMA0GCSqGSIb3DQEBCwUAA4IBAQAdg/z+SNO5kjXVN81s5mn5AC/MXF2iokIP X6+wKvAWweg5YgHgtbSSTnta/v3ddpyDil/zh/bzKhTbmxdpBfp/39cY9M2/SO1p /pZ7BLv0UsLFNm1jtOtOt+UN0GB91Gd5dTrg6JfxGziF/T6wIdlk9/kmyK7VNEaH VQKJ52awa18WBcD/4GGxb4BVKfKNhHXwPwQhQF/oukxl1dMO5E9RDEzhU1EDGyso IiL/IygYqe2f1sXoCly884k9BMX+ayCpeSy1JwYWloAQ6nHDILa0eszHmLvbkWoX 4HcxPGnzNp1qrDXNxFjSd0Gh1sfkJJgpxKuRY+LGuxg5SSCT2oW6 -----END CERTIFICATE----- subject=/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr issuer=/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3 --- No client certificate CA names sent Peer signing digest: SHA512 Server Temp Key: ECDH, P-256, 256 bits --- SSL handshake has read 2862 bytes and written 461 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: 6FBA1864663578BF7426B34E32F7FFC060B72F8048727DC2EC57D502EE33FC6C Session-ID-ctx: Master-Key: 85FAC7FCFD92A8DA614BFEB00AD8948EDACF721F01A1A0F494FB0564B18E39755E7FA92398FBE50BE7B9E865FCD860E7 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 12 2d fc 65 19 4f fe 77-c8 16 1c 9e 24 5f 38 3f .-.e.O.w....$_8? 0010 - f3 67 43 6b 23 f1 e2 73-b7 da e1 c8 ea 82 7e ce .gCk#..s......~. 0020 - a4 58 99 1a 2a fb b1 41-5e 00 9e fb 56 09 b9 9b .X..*..A^...V... 0030 - bb 3f 62 f2 fe 58 04 df-fc 0c 6e cb ba 57 01 1e .?b..X....n..W.. 0040 - 3d 06 81 e2 32 73 1a ba-c7 f3 a8 27 0b 37 9a bb =...2s.....'.7.. 0050 - 27 c1 9c 99 b5 a1 77 f4-64 b6 15 c7 f8 02 e4 2f '.....w.d....../ 0060 - 48 54 ab fc 3a 54 3d d6-bd d5 e7 1a b1 e6 e8 83 HT..:T=......... 0070 - cf 68 2e ab 46 6d 7f 0d-95 bb 6b ad 94 a7 6a 9a .h..Fm....k...j. 0080 - fe 2f ac c9 4e 39 05 09-04 f1 a6 3e 4a f3 bf 20 ./..N9.....>J.. 0090 - 0f 3c 1b 91 b9 36 ed de-9b 2b 1a ec 8a f3 7c d9 .<...6...+....|. 00a0 - 73 41 0f 75 64 6a 32 4a-fc ec 67 86 9a 71 11 82 sA.udj2J..g..q.. 00b0 - 0c 5f 36 9b f2 6e 46 10-e5 15 56 db d8 91 e6 22 ._6..nF...V...." 00c0 - bb 85 d1 fa 96 36 c0 bd-6d 95 24 fb b8 ac e9 b8 .....6..m.$..... Start Time: 1496207189 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) ---

alain_p · « **Réponse #42 le:** 31 mai 2017 à 07:55:36 »

Idem sous windows 10, sur un PC qui accepte le certificat :

Code: [Sélectionner]

>openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr
Loading 'screen' into random state - done
CONNECTED(000001EC)
OCSP response: no response sent
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=27:certificate not trusted
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/1.3.6.1.4.1.311.60.2.1.3=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
....

Je n'ai mis que le début.

vivien · « **Réponse #43 le:** 31 mai 2017 à 09:25:30 »

J'ai un retour d'OpenSSL HS return code: 21 (unable to verify the first certificate) sur un PC Linux qui as accès au site de l'ARCEP avec Firefox (probablement car le navigateur a déjà en cache le certificat manquant)

D'autres changements coté ARCEP : le site https://www.monreseaumobile.fr/ qui était hébergé sur le même serveur que l'ARCEP est passé chez OVH en mutualisé et le certificat payant a donc été remplacé par Let's Encrypt au passage.

Lui est bien configuré (en même temps pour du mutualisé, c'est OVH qui as la main :

Code: [Sélectionner]

$ openssl s_client -connect www.monreseaumobile.fr:443 -status -servername www.monreseaumobile.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = monreseaumobile.fr
verify return:1
---
Certificate chain
 0 s:/CN=monreseaumobile.fr
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=monreseaumobile.fr
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-384, 384 bits
---
SSL handshake has read 3552 bytes and written 503 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: A2E427FD05F0DB1811193B1AA31D9B9FF490DBCF2EA014BF9FD97788DA55EFA6
    Session-ID-ctx: 
    Master-Key: C884054BDEEDBCA809B798E9742BDE3447929294242F7E1484961E294BDAFE5ECE91BFD73F18B077BA16D69C81565842
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1496215289
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Le troisième site de l'ARCEP, https://www.telecom-infoconso.fr/ a été mis chez un hébergeur allemand 1&1 avec un certificat Symantec :

Lui aussi est ok :

Code: [Sélectionner]

$ openssl s_client -connect www.telecom-infoconso.fr:443 -status -servername www.telecom-infoconso.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2008 VeriSign, Inc. - For authorized use only", CN = VeriSign Universal Root Certification Authority
verify return:1
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = Symantec Basic DV SSL CA - G2
verify return:1
depth=0 CN = www.telecom-infoconso.fr
verify return:1
---
Certificate chain
 0 s:/CN=www.telecom-infoconso.fr
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2008 VeriSign, Inc. - For authorized use only/CN=VeriSign Universal Root Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=www.telecom-infoconso.fr
issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3532 bytes and written 473 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: DDE1D843D8318BB91E6B01799CEF5D2BB4A3A88F68C485CDF19EA0A286515E38
    Session-ID-ctx: 
    Master-Key: 5F2BA58FB26471BCF678AA93071F6AA02E75D148869B4DE55D46BD96256340FAF51D81BAE97F1FF005E36FD955D3CA1F
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - a9 ba 03 e0 37 e3 af f8-f2 87 51 c2 46 a5 e6 93   ....7.....Q.F...
    0010 - 52 c9 ad 9f 0a 4d 23 9d-97 d2 2f 62 46 ad f2 c3   R....M#.../bF...
    0020 - 44 59 67 84 c4 52 8f fd-40 bb 6c 23 22 71 90 d1   DYg..R..@.l#"q..
    0030 - dd f6 89 b2 13 8c df d4-9f e9 65 4a fe 2c 16 57   ..........eJ.,.W
    0040 - 2f 6c a2 4d c5 44 2e f8-19 ed 2c d1 c4 1b f8 d1   /l.M.D....,.....
    0050 - 97 f7 41 51 97 d3 f1 a5-8e 7c 7c 16 3e 72 e7 7e   ..AQ.....||.>r.~
    0060 - 82 82 0b 6e 02 ce 8a f8-28 55 e2 92 34 5b 2a 6f   ...n....(U..4[*o
    0070 - a0 1c 32 12 48 f8 2d 5b-6f 52 85 96 89 6e 9b 82   ..2.H.-[oR...n..
    0080 - 8c 54 d7 3b ce 06 09 78-67 58 58 1c 23 72 fa f5   .T.;...xgXX.#r..
    0090 - 44 76 39 78 ed 9a 76 7e-61 c9 52 d1 f1 ea 66 f5   Dv9x..v~a.R...f.
    00a0 - 06 e0 55 99 ca b3 e6 90-61 ce a2 e1 d3 6e 4b 15   ..U.....a....nK.
    00b0 - 49 08 0e 26 79 f6 65 bd-da 0a 79 a1 3e 25 0b 19   I..&y.e...y.>%..
    00c0 - 0f 05 52 58 13 1f 8d 5f-9d 87 a2 f1 79 ff ce d0   ..RX..._....y...

    Start Time: 1496215726
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

vivien · « **Réponse #44 le:** 11 juin 2017 à 18:51:44 »

L'ARCEP a de nouveau changé de certificat SSL.

1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

2 points positif :
- Le serveur Web est bien paramétré
- Le site est forcé en https via une redirection

Autre changement : les paramètres SSL sont agressifs et imposent le TLS 1.2, ce qui bloque les smartphones Android inférieur a Android 4.4.
Les version d'Internet Explorer à INtenret Explorer 11 sont également incapable d'aller sur le site de l'ARCEP.
Coté boot, j'ai bien peur que cela bloque les bot basé sur Windows server 2012. Cette version ne supporte pas TLS 1.2 et n'a pas d'Internet Explorer 11 disponible.

J'ai commencé a analyser les log de LaFibre.info, je pense ne pas pouvoir mettre une configuration aussi agressive avant fin 2018.

Hugues · « **Réponse #45 le:** 11 juin 2017 à 19:55:51 »

Citation de: vivien le 11 juin 2017 à 18:51:44

1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

Mais, je, euh, pourquoi ?

FloBaoti · « **Réponse #46 le:** 12 juin 2017 à 10:19:52 »

Citation de: Hugues le 11 juin 2017 à 19:55:51

Mais, je, euh, pourquoi ?

Ça me va perso, c'est de l'argent public dépensé pour rien.

Hugues · « **Réponse #47 le:** 12 juin 2017 à 12:46:20 »

ils en ont acheté deux du coup...