La Fibre

Réseau / Routage / Peering => Réseau => reseau Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 24 mars 2017 à 13:51:54

Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 24 mars 2017 à 13:51:54
Les erreurs à ne pas faire quand on bascule son site en https

Si vous hébergez plusieurs sites web sur un même serveur et que tous ne migrent pas en même temps en https, il faut prêter une attention particulière aux sites qui ne basculent pas en https.

Si on appelle un site http en https il y a 3 possibilités :
- Cas1 : Le serveur n'écoute pas sur le port 443 (port de https) => Le site ne sera pas accessible en https et il sera référencé sur Google en http
- Cas2 : Le serveur écoute sur le port 443 pour un autre site sur le même serveur et aucune redirection http n'existe => Le site qui va s'afficher ne sera pas celui demandé par le client et Google risque de référencer ce mauvais site
- Cas3 : Le serveur écoute sur le port 443 et redirige le client sur le port 80 => le client sera redirigé sur le site non chiffré. C'est l’option a privilégier.

Pour prendre un cas concret, l'ARCEP est passé du cas N°1 (pas de https) au cas N°2 ces derniers jours.

Aujourd'hui voici ce que l'on a quand on visite https://arcep.fr/ :
(https://lafibre.info/images/ssl/201703_arcep_ssl_1.png)

C'est bien différent du site http://arcep.fr/ :
(https://lafibre.info/images/ssl/201703_arcep_ssl_2.png)

L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur.

Même si vous n'avez aucun site en https sur votre serveur, il est conseillé de prendre un certificat pour faire une redirection (cas N°3), ce qui évitera aux clients qui mettent systématiquement https d'avoir une page qui ne se charge pas.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 24 mars 2017 à 13:53:04
Au niveau des certificat, dans la cas présent, avec l'ARCEP le certificat n'est pas le bon. Les clients sans anti-virus avec du Man-in-theMiddle verront donc un message d’alerte.

Pou ceux qui ont un certificat "willcard", le certificat pourrait être ok sur les deux domines, il n'y aura donc aucune alerte pour le client qui visitera le mauvais site.

Certificat SSL pour l'ARCEP :
(https://lafibre.info/images/ssl/201703_arcep_ssl_3.png)

Autre erreur de l'ARCEP : ne pas avoir suit les pratiques pour sécuriser un site. Même sur https://monreseaumobile.fr/, de nombreuses vulnérabilités SSL sont présentes :
(https://lafibre.info/images/ssl/201703_arcep_ssl_4.png)

L'ARCEP a pourtant choisit un certificat payant, délivré par GlobalSign, alors qu'un certificat gratuit (Let's Encrypt, l'autorité de certification porté par l'Electronic Frontier Foundation) permet par défaut d'avoir un A (et un A+ avec quelques modifications) :
(https://lafibre.info/images/ssl/logo_letsencrypt.svg)
(https://lafibre.info/images/ssl/201703_lafibre_ssl-labs.png)

Autre problème sur le site de l'ARCEP : il n'y a pas un site, mais deux sites ARCEP : http://arcep.fr/ et http://www.arcep.fr/

Il est déconseillé d'avoir deux sites différents.
Il est conseillé de mettre des redirections.

Concrètement il est recommandé de mettre des redirections.

Exemple pour LaFibre.info :
- http://lafibre.info/ === redirige vers ===> https://lafibre.info/
- http://www.lafibre.info/ === redirige vers ===> https://lafibre.info/
- https://www.lafibre.info/ === redirige vers ===> https://lafibre.info/

Pour un site non disponible en https, il faut également 3 redirections, qui redirigent les sites https ou http + www vers l'unique site.
Il est possible de mettre les 3 redirections vers le site avec le www ou vers le site sans www.
Le www est pour des raison historique et il n'apporte rien, d'où le fait de plus en plus de nouveau sites de faire pointer vers le site sans www (c'est le cas de https://lafibre.info/). Il ne faut par contre pas modifier ce choix.




Concrètement, voici ce qu'il faut faire dans la configuration Apache : (l'ARCEP utilise Apache)

Redirection des requêtes http avec et sans www vers le site en https :
<VirtualHost *:80>
        ServerName "lafibre.info"
        ServerAlias "www.lafibre.info"

        Redirect permanent / https://lafibre.info/
        CustomLog ${APACHE_LOG_DIR}/redirect80.log combined
</VirtualHost>
A noter que seul le début de l'URL modifié : si une page est appelée, la redirection va permettre de voir la page demandée.



Redirection des requêtes https avec www vers le site sans www.
Ici on est en https, il faut donc un certificat, même si c'est juste pour une redirection.

<VirtualHost *:443>
        ServerName "www.lafibre.info"
        SSLEngine on
        SSLCertificateFile /etc/ssl/private/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key
        SSLCertificateChainFile /etc/ssl/private/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/ssl/private/ca.pem
        Header always set Strict-Transport-Security "max-age=63072000; preload"

        Redirect permanent / https://lafibre.info/
        CustomLog ${APACHE_LOG_DIR}/redirect443.log combined
</VirtualHost>
A noter que seul le début de l'URL modifié : si une page est appelée, la redirection va permettre de voir la page demandée.



Hébergement du site en https
<VirtualHost *:443>
        ServerName "lafibre.info"
        ServerAdmin mail@domaine

        SSLEngine on
        SSLCertificateFile /etc/ssl/private/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key
        SSLCertificateChainFile /etc/ssl/private/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/ssl/private/ca.pem
        # Utiliser HSTS (HTTP Strict Transport Security) pour forcer le navigateur a contacter le nom de domaine pendant 2ans que en https
        Header always set Strict-Transport-Security "max-age=63072000; preload"
        Header always set X-Frame-Options DENY
        Header always set X-Content-Type-Options nosniff

        DocumentRoot "/home/lafibre"
        <Directory "/home/lafibre">
                Options None
                AllowOverride None
                Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 24 mars 2017 à 14:05:20
Bon, c'est la leçon pour l'ARCEP ;)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Marco POLO le 24 mars 2017 à 17:54:04
...L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur...
...Comme ça ne me le faisait pas hier, j'ai voulu revérifier à l'instant et... ça ne me le fait toujours pas !  (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: corrector le 24 mars 2017 à 18:15:40
Pour prendre un cas concret, l'ARCEP est passé du cas N°1 (pas de https) au cas N°2 ces derniers jours.

Aujourd'hui voici ce que l'on a quand on visite https://arcep.fr/ :
(https://lafibre.info/images/ssl/201703_arcep_ssl_1.png)

C'est bien différent du site http://arcep.fr/ :
(https://lafibre.info/images/ssl/201703_arcep_ssl_2.png)

L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur.
Quels glands!
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 24 mars 2017 à 20:06:38
Quels glands!

Toujours aussi sympa le corrector !
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: corrector le 24 mars 2017 à 20:47:11
Je me retiens de dire ce que je pense, en général.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 24 mars 2017 à 21:33:03
Ah, je n'avais pas remarqué ;)

Errare Humanun est, sed persevare diabolicum est.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: mirtouf le 25 mars 2017 à 20:46:18
Quels glands!
Pas mieux.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: kgersen le 25 mars 2017 à 21:07:32
Ca la fout mal quand même que le régulateur français de l'Internet fasse une bourde pareil.

en plus ils sont a 0% niveau IPv6 ...re-sigh
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 25 mars 2017 à 21:35:50
J'ai l'info de pourquoi le https a été mis sur un site annexe et pas sur le site principal...

Il faut remercier Google Chrome : Depuis la sortie de Google Chrome 50 (sortie le 20 avril 2016), l’API HTML5 de géolocalisation est réservée aux pages en https, ce qui a poussé l'ARCEP a passer le site monreseaumobile.fr en https, pour bénéficier de la géolocalisation.

=> [Chrome] API JS donnant accès aux données sensibles réservées origines sures (https://lafibre.info/cryptographie/chrome-api-js-donnant-acces-aux-donnees-sensibles-reservees-origines-sures/?topicseen)

Pour Firefox, le blocage de la géolocalisation des sites en http se fera avec Firefox 55, qui est prévu pour le 8 août 2017.
Sur ce coup là Firefox est en retard.

Par contre Firefox arrive avant Chrome, pour les messages d’alertes quand on remplit des données sur un site non https :

Le message d'alerte apparaît sur chaque champ en http:
(https://lafibre.info/testdebit/ubuntu/201703_firefox52_securisation.png)

Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Marco POLO le 25 mars 2017 à 21:39:07
...Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?
(https://lafibre.info/images/smileys/@GregLand/ag.gif)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: corrector le 26 mars 2017 à 01:29:00
Il faut remercier Google Chrome : Depuis la sortie de Google Chrome 50 (sortie le 20 avril 2016), l’API HTML5 de géolocalisation est réservée aux pages en https, ce qui a poussé l'ARCEP a passer le site monreseaumobile.fr en https, pour bénéficier de la géolocalisation.

Oui on a parlé :
Intent to deprecate: Insecure usage of powerful features

We want to start applying the concepts in https://w3c.github.io/webappsec/specs/powerfulfeatures/ to features that have already shipped and which do not meet the (new, not present at the time) requirements. We want to start by requiring secure origins for these existing features:

- Device motion / orientation
- EME
- Fullscreen
- Geolocation
- getUserMedia

As with gradually marking HTTP as non-secure (https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure), we expect to gradually migrate these features to secure-only, based on thresholds of usage, starting with lowest usage and moving towards higher. We also expect to gradually indicate in the UX that the features are deprecated for non-secure origins.

The deprecation strategy for each of these features is not decided on and may very well differ from feature to feature. We don’t currently know what the thresholds will be, or how heavily used the features are on what kinds of origins. We are in the process of gathering data, and will report back when we have it. There are no firm plans at all at this time, other than eventual deprecation. We intend for this to stimulate a public discussion of the best way to approach this deprecation. So, to that point, we'd love to hear what the community thinks.

Thanks,
   Joel Weinberger, Chrome Security

https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/2LXKVWYkOus/gT-ZamfwAKsJ

Pour Firefox, le blocage de la géolocalisation des sites en http se fera avec Firefox 55, qui est prévu pour le 8 août 2017.
Sur ce coup là Firefox est en retard.

Par contre Firefox arrive avant Chrome, pour les messages d’alertes quand on remplit des données sur un site non https :

Le message d'alerte apparaît sur chaque champ en http:
(https://lafibre.info/testdebit/ubuntu/201703_firefox52_securisation.png)
Message pour les données de formulaire qui sont souvent banales mais rien pour les API qui peuvent donner accès à la caméra?

Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?
Bloquer les moteurs de recherche qui ne sont pas en HTTP?

Je n'y crois pas une seconde. Ce serait clairement excessif. Pourquoi pas bloquer tous les sites HTTP, pendant qu'on y est?
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 26 mars 2017 à 14:38:04
Tant que je suis dans les optimisations à faire sur le site de l'ARCEP : Arrêter d'utiliser des crochets dans les URL !

De nombreux articles ne sont pas correctement sourcés a cause de ces URL, refusés par de nombreux sites.
Cela fait donc baisser le référencement du site de l'ARCEP sur Google (tout comme le fait de ne pas avoir de https au passage)

Sur ce forum, voici le tutoriel, ce n'est pas simple : Tutoriel pour poster une URL avec des crochets (https://lafibre.info/evolution/url-crochet/)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: corrector le 26 mars 2017 à 16:47:30
Bref, l'ARCEP a un des plus mauvais sites par rapport aux normes du Web!
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: kgersen le 26 mars 2017 à 21:03:59
https://developers.google.com/speed/pagespeed/insights/?url=http%3A%2F%2Farcep.fr%2F&tab=desktop
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: cali le 26 mars 2017 à 21:11:54
En plus de chier avec le https ils ne connaissent pas l'IPv6 et leur page charge plein de merdes d'autres sites notamment google-analytics.com. Donc chiffrer le trafic pour en meme temps envoyer toutes les informations possibles de ses visiteurs a google ca sert pas a grand chose...
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 14:44:07
L'ARCEP nous a écouté et s'est offert un certificat SSL "Extended Validation", le haut de gamme, qui permet d'afficher le nom de la société qui a été vérifié.

La classe, pour le gendarme des Telecoms !

Copie d'écran avec Chromium :
(https://lafibre.info/images/ssl/201705_arcep_ssl_1.png)

Copie d'écran avec Microsoft Edge :

(https://lafibre.info/images/ssl/201705_arcep_ssl_edge.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 14:45:43
Par contre, j'ai l'impression qu'ils n'ont pas implèmenté la chaîne des certificats.

Résultat cela ne marche pas du tout avec plusieurs navigateurs, dont Firefox :


(https://lafibre.info/images/ssl/201705_arcep_ssl_firefox.png)

(https://lafibre.info/images/ssl/201705_arcep_ssl_2.png)

(https://lafibre.info/images/ssl/201705_arcep_ssl_3.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 14:47:27
Il semble manquer dans la configuration du serveur web    Apache de l'ARCEP, le certificat GlobalSign Extended Validation CA - SHA256 - G3

Chrome télécharge les certificat intermédiaire, si ils n'est pas envoyé par le serveur web ?


(https://lafibre.info/images/ssl/201705_arcep_ssl_4.png)

(https://lafibre.info/images/ssl/201705_arcep_ssl_5.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: mirtouf le 30 mai 2017 à 14:53:10
La chaîne n'est pas complète et arcep.fr n'est listé ni dans le Common Name ni dans la liste SAN.

Grillé.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: FloBaoti le 30 mai 2017 à 15:07:52
Ce n'est pas de l'Extended Validation, si ? Ces certificats ne permettent pas des Alt Name il me semble
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Hugues le 30 mai 2017 à 15:08:45
Si si, c'est bien un EV avec des Alt name, on a halluciné au boulot en voyant ça aussi.


EDIT : https://en.wikipedia.org/wiki/Subject_Alternative_Name (Vu la capture, c'est possible, et Comodo a une offre)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: cali le 30 mai 2017 à 15:18:35
Ils débutent, dans 10 ans l'IPv6, peut-être.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 15:27:02
Ils débutent, dans 10 ans l'IPv6, peut-être.
L'IPv6 sur le site de l'ARCEP arrive en 2018, ils l'ont annoncé ce matin, lors de la conférence de presse.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 16:03:36
Étonnant : Chrome version bureau n'est pas géné par le fait que la chaîne n'est pas complète

Par contre sur le mobile, Chrome pour Android refuse d'afficher le site de l'ARCEP : Pourquoi une telle différence entre version PC et version Android ?
(https://lafibre.info/images/ssl/201705_arcep_ssl_chrome_android_1.png) (https://lafibre.info/images/ssl/201705_arcep_ssl_chrome_android_2.png)

La navigateur Firefox et le navigateur "Samsung Internet" sur Android :

(https://lafibre.info/images/ssl/201705_arcep_ssl_android.png) (https://lafibre.info/images/ssl/201705_arcep_ssl_samsung_internet.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 16:16:00
Personnellement, sous windows, que ce soit avec Firefox (53.0.3), Chrome, Edge ou IE, aucun avertissement ou problème pour accéder en https au site Arcep.

P.S : Sous Android (6.0.1), pas de problème non plus avec Firefox et Chrome.

En fait, pas de problème avec www.arcep.fr, mais problème avec arcep.fr tout court.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 16:22:07
Pourtant, j'ai bien une erreur avec Fireofx 53 sous Windows 10.

Voici la copie d'écran :
(https://lafibre.info/images/ssl/201705_arcep_ssl_firefox.png)

Tu n'aurais pas un anti-virus qui fait du man-in-the-middle et qui détruit toute la politique de sécurité ?

Tu as une longue liste d'anti-virus déconseillé pour les pb de sécurité qu'ils engendrent :


Le département de la sécurité intérieure des Etats-Unis a trouvé que plusieurs produits d'inspection de trafic HTTPS ne valident pas correctement les certificats de sécurité. Des chercheurs de Google, Mozilla, Cloudflare, de grandes universités américaines ont écrit ce document de 13 pages  : "The Security Impact of HTTPS Interception"

Ils ont testé les anti-virus et seuls deux parmi les plus connus qui interceptent le https ne dégradent pas la sécurité : Avast 11 pour Windows et BullGuard Internet Sécurité 16.

Les autres sont à déconseiller :
(https://lafibre.info/images/ssl/201702_https_Interception_1.png)

L'anti-virus de Microsoft n'est pas dans la liste car il ne fait pas d'interception https.
Je précise que ces fonctions d’interception https dégradent le débit et qu'il est nécessaire de désactiver ces fonctions pour avoir tout le débit d'une connexion fibre sur du trafic https.


(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/201702_https_Interception.png) (https://lafibre.info/images/ssl/201702_https_Interception.pdf)

Liste des auteurs : Zakir Durumeric, Zane Ma, Drew Springall, Richard Barnes, Nick Sullivan, Elie Bursztein, Michael Bailey, J. Alex Halderman, Vern Paxson.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 16:26:24
J'ai windows defender (j'ai désinstallé il y a quelque temps kasperky endpoint qui me posait problème).

Voici ma capture :
(https://lafibre.info/images/ssl/201705_arcep_ssl_firefox_2.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 16:30:43
Il ne semble pas y avoir de man-in-the-middle, vu que le certificat est celui de l'ARCEP et non celui d'un anti-virus.

Cela serait possible d’afficher la hiérarchie des certificats ?

Tu cliques sur le cadenas vert puis la fléche à droite, "plus d'information" et "afficher le certificat"

Voici ce que j'ai (sous Linux, mais bien sur la chaîne de certificat est la même sous Windows)

(https://lafibre.info/images/ssl/201705_arcep_ssl_4.png)

Pour donner une information complète, c'est réalisé avec un accès câble 100/5 SFR, opérateur pour lequel ma confiance sur la neutralité est élevé via un accès fixe.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 16:39:10
Voilà :

(https://lafibre.info/images/ssl/201705_arcep_ssl_firefox_3.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 16:47:35
P.S : maintenant sous Android, j'ai une erreur de certificat (je suis chez Freemobile), sous Firefox, mais pas sous Chrome ?

Sous Firefox : SEC_ERROR_UNKNOWN_ISSUER
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 16:49:06
Tu pourrais essayer après avoir vidé le cache de ton navigateur ?

Ma copie d'écran :
(https://lafibre.info/images/ssl/201705_arcep_ssl_firefox_4.png)

- Navigateur : Firefox 53.0.3 64bits (cache vidé)
- Système d'exploitation : Windows 10 Pro 1703 (Installation de Windows 10 depuis l'ISO - je ne fais pas confiance à l'OS pré-installé par Dell)
- Anti-virus : Windows Defender
- Accès à Internet : SFR câble 100/5 IPv4 only
Note : Je suis 99,5% du temps sous Linux, Windows ne me sert que pour réaliser de tests.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 16:58:11
Même chose après avoir vidé l'historique récent. Je suis en windows 10 1607, upgradé à partir de windows 7, installé à l'origine depuis l'iso Microsoft.

P.S : par contre, sur un windows 7 à côté, avec Kaspersky, message d'erreur sur le certificat. Bizarre...

Un collègue sous Ubuntu 16.04, avec Firefox, pas de problème non plus, chaine de certificat complète...
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: kgersen le 30 mai 2017 à 19:16:59
Si si, c'est bien un EV avec des Alt name, on a halluciné au boulot en voyant ça aussi.


EDIT : https://en.wikipedia.org/wiki/Subject_Alternative_Name (Vu la capture, c'est possible, et Comodo a une offre)

halluciné ?! pourquoi ?

C'est la norme de nos jours ou j'ai loupé un truc? c'est recommandé depuis 2000 et la rfc 2818...

D’ailleurs Chrome 58 ne supporte plus que les SAN dans un certificat: https://www.chromestatus.com/features/4981025180483584
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Hugues le 30 mai 2017 à 20:17:00
Ben pour moi (et mes collègues) on ne pouvait pas prendre un EV avec des Alt names.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 30 mai 2017 à 20:47:15
Je suis le seul à ne pas avoir de problème affiché avec le certificat de l'Arcep ? Ce soir, je suis rentré chez moi, et toujours sous windows 10 (cette fois 1703), toujours pas d'avertissement ni avec Firefox, ni avec Chrome, ni avec Edge.

Vu le côté aléatoire du problème, je me suis même demandé s'il n'y avait pas deux serveurs ARCEP, l'un bien configuré, l'autre non (load balancing ?).
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Hugues le 30 mai 2017 à 20:49:06
Pas de souci ici sous Canary/macOS
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 30 mai 2017 à 21:53:37
Il n'y a qu'un seul serveur : 81.200.191.17

Je suis intéressé pour avoir d'autres retour de Firefox et de navigateurs sous Android.

Ce que je trouve étonnant, c'est que Apache a ou n'a pas les certificat intermédiaire.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: underground78 le 30 mai 2017 à 23:40:29
Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Marco POLO le 31 mai 2017 à 01:03:32
Je n'ai pas le problème quand je visite https://www.arcep.fr/ avec Firefox sous Windows 10.
...Idem pour moi avec Firefox 53.0.3 sous Win7 !  (https://lafibre.info/images/smileys/@GregLand/bk.gif)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 31 mai 2017 à 07:29:08
J'ai l'impression que le navigateur accepte la connexion, si il a déjà reçu le certificat GlobalSign Extended Validation CA - SHA256 - G3 via un autre site web.

Comment vider le cache des certificats reçus du navigateur ?

Voici le résultat avec OpenSSL qui confirme unable to verify the first certificate


$ openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, jurisdictionC = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIIYzCCB0ugAwIBAgIMdtVfNd4zy6sFEytKMA0GCSqGSIb3DQEBCwUAMGIxCzAJ
BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMTgwNgYDVQQDEy9H
bG9iYWxTaWduIEV4dGVuZGVkIFZhbGlkYXRpb24gQ0EgLSBTSEEyNTYgLSBHMzAe
Fw0xNzA1MDQxMjA3MDJaFw0xNzEwMTcxODA0MThaMIHqMRowGAYDVQQPDBFHb3Zl
cm5tZW50IEVudGl0eTEUMBIGA1UEBRMLMTEwIDAwMCAzNTMxEzARBgsrBgEEAYI3
PAIBAxMCRlIxCzAJBgNVBAYTAkZSMRYwFAYDVQQIEw1pbGUgZGUgZnJhbmNlMQ4w
DAYDVQQHEwVwYXJpczEcMBoGA1UECRMTNyBzcXVhcmUgTWF4IEh5bWFuczEKMAgG
A1UECwwBKjErMCkGA1UEChMiQVVUT1JJVEUgUkVHVUwgQ09NTSBFTEVDVFJPIFBP
U1RFUzEVMBMGA1UEAxMMdnBuLmFyY2VwLmZyMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEAuHoOk3b1vPEJSq2CkrvFvUtLPTcxK4G8TUtVmBgV7nK4CRk0
k26NBq4gjZwIP6kPGp4I2lbwhZUN7gs9Y9/ZtyDEOUvs3y4yclvkXlzIjWqpvzRy
yvuvpy3fXw/x0mJS5pXERWsXPh2mZCGonzGJIozitPDikP4L/cz6pn4fgV2d2DD/
KNn9GmZhJ/wbdo1kPFxLdTegF+ycxoQ8Z8RdWuj3S5mdOyXiQE6c+NHnvOmAVTgy
BtSuW7mW5IHaZHiuKabiU8tJOyv311HEG1VaS0U5H2Npw9/dgVCdSjsxwf9ugz0K
1kqc4+iiYbcSM+P5+p6doKMGFhMvZa0354O10wIDAQABo4IEjjCCBIowDgYDVR0P
AQH/BAQDAgWgMIGWBggrBgEFBQcBAQSBiTCBhjBHBggrBgEFBQcwAoY7aHR0cDov
L3NlY3VyZS5nbG9iYWxzaWduLmNvbS9jYWNlcnQvZ3NleHRlbmR2YWxzaGEyZzNy
My5jcnQwOwYIKwYBBQUHMAGGL2h0dHA6Ly9vY3NwMi5nbG9iYWxzaWduLmNvbS9n
c2V4dGVuZHZhbHNoYTJnM3IzMFUGA1UdIAROMEwwQQYJKwYBBAGgMgEBMDQwMgYI
KwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkv
MAcGBWeBDAEBMAkGA1UdEwQCMAAwRQYDVR0fBD4wPDA6oDigNoY0aHR0cDovL2Ny
bC5nbG9iYWxzaWduLmNvbS9ncy9nc2V4dGVuZHZhbHNoYTJnM3IzLmNybDCB3QYD
VR0RBIHVMIHSggx2cG4uYXJjZXAuZnKCD21vYmlsZS5hcmNlcC5mcoIRZXNwZWN0
cmUuYXJjZXAuZnKCEWV4dHJhbmV0LmFyY2VwLmZyghVvYnNlcnZhdG9pcmUuYXJj
ZXAuZnKCFmNvbnNvbW1hdGV1cnMuYXJjZXAuZnKCDG93YS5hcmNlcC5mcoINbWFp
bC5hcmNlcC5mcoIVYXV0b2Rpc2NvdmVyLmFyY2VwLmZyggxzZWcuYXJjZXAuZnKC
DG1hZy5hcmNlcC5mcoIMd3d3LmFyY2VwLmZyMB0GA1UdJQQWMBQGCCsGAQUFBwMB
BggrBgEFBQcDAjAdBgNVHQ4EFgQUQLqOqP76cY9Gz5BYkYiGcge8bigwHwYDVR0j
BBgwFoAU3bPnbagu6MVObs905nU8lBXO6B0wggH1BgorBgEEAdZ5AgQCBIIB5QSC
AeEB3wB1AN3rHSt6DU+mIIuBrYFocH4ujp0B1VyIjT0RxM227L7MAAABW9NbO5kA
AAQDAEYwRAIgWjOH3h8dBbVpHNxuJvJPN+UpHlmSWnCw45PK0VmjM88CIFAI6EDC
ednyK5TwhtNMpCfu4MmwH6yTwhZIrwxW5Zr/AHcAVhQGmi/XwuzT9eG9RLI+x0Z2
ubyZEVzA75SYVdaJ0N0AAAFb01s7uQAABAMASDBGAiEA5DzYXLrQdaPpl0B9xQmC
0NZVjnEapovsoKWRkrenbaACIQC6v2cW8Q/ccJXhuKagRLSLqvvp8RGKMkx6IhzY
pYqhywB1AKS5CZC0GFgUh7sTosxncAo8NZgE+RvfuON3zQ7IDdwQAAABW9NbPtYA
AAQDAEYwRAIgZw45bg/L/9AQq1dDJhRmOEuvdVf3k6iDMsBjzdn1CE8CIH8W1VVJ
ALlRbbfFNuKbyLNn49j9pp//aDQrm4QYBNSpAHYA7ku9t3XOYLrhQmkfq+GeZqMP
fl+wctiDAMR7iXqo/csAAAFb01tBqgAABAMARzBFAiEAr2gRxIZch65FSisLCbLi
fL2mf7rJczdZ2x1gwZ5P0OwCIFcKuxnuvR+ToKDXXurhqU+JPkKCXe/NQosJXqkA
GxQqMA0GCSqGSIb3DQEBCwUAA4IBAQAdg/z+SNO5kjXVN81s5mn5AC/MXF2iokIP
X6+wKvAWweg5YgHgtbSSTnta/v3ddpyDil/zh/bzKhTbmxdpBfp/39cY9M2/SO1p
/pZ7BLv0UsLFNm1jtOtOt+UN0GB91Gd5dTrg6JfxGziF/T6wIdlk9/kmyK7VNEaH
VQKJ52awa18WBcD/4GGxb4BVKfKNhHXwPwQhQF/oukxl1dMO5E9RDEzhU1EDGyso
IiL/IygYqe2f1sXoCly884k9BMX+ayCpeSy1JwYWloAQ6nHDILa0eszHmLvbkWoX
4HcxPGnzNp1qrDXNxFjSd0Gh1sfkJJgpxKuRY+LGuxg5SSCT2oW6
-----END CERTIFICATE-----
subject=/businessCategory=Government Entity/serialNumber=110 000 353/jurisdictionC=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
issuer=/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2862 bytes and written 461 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 6FBA1864663578BF7426B34E32F7FFC060B72F8048727DC2EC57D502EE33FC6C
    Session-ID-ctx:
    Master-Key: 85FAC7FCFD92A8DA614BFEB00AD8948EDACF721F01A1A0F494FB0564B18E39755E7FA92398FBE50BE7B9E865FCD860E7
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 12 2d fc 65 19 4f fe 77-c8 16 1c 9e 24 5f 38 3f   .-.e.O.w....$_8?
    0010 - f3 67 43 6b 23 f1 e2 73-b7 da e1 c8 ea 82 7e ce   .gCk#..s......~.
    0020 - a4 58 99 1a 2a fb b1 41-5e 00 9e fb 56 09 b9 9b   .X..*..A^...V...
    0030 - bb 3f 62 f2 fe 58 04 df-fc 0c 6e cb ba 57 01 1e   .?b..X....n..W..
    0040 - 3d 06 81 e2 32 73 1a ba-c7 f3 a8 27 0b 37 9a bb   =...2s.....'.7..
    0050 - 27 c1 9c 99 b5 a1 77 f4-64 b6 15 c7 f8 02 e4 2f   '.....w.d....../
    0060 - 48 54 ab fc 3a 54 3d d6-bd d5 e7 1a b1 e6 e8 83   HT..:T=.........
    0070 - cf 68 2e ab 46 6d 7f 0d-95 bb 6b ad 94 a7 6a 9a   .h..Fm....k...j.
    0080 - fe 2f ac c9 4e 39 05 09-04 f1 a6 3e 4a f3 bf 20   ./..N9.....>J..
    0090 - 0f 3c 1b 91 b9 36 ed de-9b 2b 1a ec 8a f3 7c d9   .<...6...+....|.
    00a0 - 73 41 0f 75 64 6a 32 4a-fc ec 67 86 9a 71 11 82   sA.udj2J..g..q..
    00b0 - 0c 5f 36 9b f2 6e 46 10-e5 15 56 db d8 91 e6 22   ._6..nF...V...."
    00c0 - bb 85 d1 fa 96 36 c0 bd-6d 95 24 fb b8 ac e9 b8   .....6..m.$.....

    Start Time: 1496207189
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: alain_p le 31 mai 2017 à 07:55:36
Idem sous windows 10, sur un PC qui accepte le certificat :

>openssl s_client -connect www.arcep.fr:443 -status -servername www.arcep.fr
Loading 'screen' into random state - done
CONNECTED(000001EC)
OCSP response: no response sent
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=27:certificate not trusted
verify return:1
depth=0 businessCategory = Government Entity, serialNumber = 110 000 353, 1.3.6.1.4.1.311.60.2.1.3 = FR, C = FR, ST = ile de france, L = paris, street = 7 square Max Hymans, OU = *, O = AUTORITE REGUL COMM ELECTRO POSTES, CN = vpn.arcep.fr
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/businessCategory=Government Entity/serialNumber=110 000 353/1.3.6.1.4.1.311.60.2.1.3=FR/C=FR/ST=ile de france/L=paris/street=7 square Max Hymans/OU=*/O=AUTORITE REGUL COMM ELECTRO POSTES/CN=vpn.arcep.fr
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
....

Je n'ai mis que le début.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 31 mai 2017 à 09:25:30
J'ai un retour d'OpenSSL HS return code: 21 (unable to verify the first certificate) sur un PC Linux qui as accès au site de l'ARCEP avec Firefox (probablement car le navigateur a déjà en cache le certificat manquant)

D'autres changements coté ARCEP : le site https://www.monreseaumobile.fr/ qui était hébergé sur le même serveur que l'ARCEP est passé chez OVH en mutualisé et le certificat payant a donc été remplacé par Let's Encrypt au passage.

Lui est bien configuré (en même temps pour du mutualisé, c'est OVH qui as la main :

$ openssl s_client -connect www.monreseaumobile.fr:443 -status -servername www.monreseaumobile.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = monreseaumobile.fr
verify return:1
---
Certificate chain
 0 s:/CN=monreseaumobile.fr
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=monreseaumobile.fr
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-384, 384 bits
---
SSL handshake has read 3552 bytes and written 503 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: A2E427FD05F0DB1811193B1AA31D9B9FF490DBCF2EA014BF9FD97788DA55EFA6
    Session-ID-ctx:
    Master-Key: C884054BDEEDBCA809B798E9742BDE3447929294242F7E1484961E294BDAFE5ECE91BFD73F18B077BA16D69C81565842
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1496215289
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---



Le troisième site de l'ARCEP, https://www.telecom-infoconso.fr/ a été mis chez un hébergeur allemand 1&1 avec un certificat Symantec :

Lui aussi est ok :

$ openssl s_client -connect www.telecom-infoconso.fr:443 -status -servername www.telecom-infoconso.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2008 VeriSign, Inc. - For authorized use only", CN = VeriSign Universal Root Certification Authority
verify return:1
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = Symantec Basic DV SSL CA - G2
verify return:1
depth=0 CN = www.telecom-infoconso.fr
verify return:1
---
Certificate chain
 0 s:/CN=www.telecom-infoconso.fr
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2008 VeriSign, Inc. - For authorized use only/CN=VeriSign Universal Root Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFojCCBIqgAwIBAgIQLSd9y4NseGcbOqsWRq7QtzANBgkqhkiG9w0BAQsFADCB
lDELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFFN5bWFudGVjIENvcnBvcmF0aW9uMR8w
HQYDVQQLExZTeW1hbnRlYyBUcnVzdCBOZXR3b3JrMR0wGwYDVQQLExREb21haW4g
VmFsaWRhdGVkIFNTTDEmMCQGA1UEAxMdU3ltYW50ZWMgQmFzaWMgRFYgU1NMIENB
IC0gRzIwHhcNMTcwMTE4MDAwMDAwWhcNMTgwMTE4MjM1OTU5WjAjMSEwHwYDVQQD
DBh3d3cudGVsZWNvbS1pbmZvY29uc28uZnIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCDCVAGYBcWnetkI8cGPtpjWWZWz4LcWXC0Q+iOvo9Jv/YURcq0
SyGWa+jYquuvX2qlm29u0Le+afzHH28VbXDeeJxvIpj5SGoJgPc1u4bFqO4xX5GI
Td6Fg5Pjmg0PWyAxbGD1enZTuO/lryYY/Te5Hv68q2vXaIVRFed9QczQ3B/n/Qax
VPzjGmWpCk2BNNiIF1CB1/DjqjfkmZi7PobneRwSKnaSp2meipX24sbnlTiZgFXZ
d4VZpNlJjbt2VffqPzsPL4xr6q5Iy+cIq8u/sY3CAbf73vrJ2KEdw5L3b/g0TVuH
c56RIa3HypRGFEXN1UhA3EJKmeUTJ/LWnIq3AgMBAAGjggJeMIICWjA5BgNVHREE
MjAwghh3d3cudGVsZWNvbS1pbmZvY29uc28uZnKCFHRlbGVjb20taW5mb2NvbnNv
LmZyMAkGA1UdEwQCMAAwYQYDVR0gBFowWDBWBgZngQwBAgEwTDAjBggrBgEFBQcC
ARYXaHR0cHM6Ly9kLnN5bWNiLmNvbS9jcHMwJQYIKwYBBQUHAgIwGQwXaHR0cHM6
Ly9kLnN5bWNiLmNvbS9ycGEwHwYDVR0jBBgwFoAUyqxd4ZAv8e+M1J81AeEBO6DO
wXcwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcD
AjBXBggrBgEFBQcBAQRLMEkwHwYIKwYBBQUHMAGGE2h0dHA6Ly9oZC5zeW1jZC5j
b20wJgYIKwYBBQUHMAKGGmh0dHA6Ly9oZC5zeW1jYi5jb20vaGQuY3J0MIIBBAYK
KwYBBAHWeQIEAgSB9QSB8gDwAHYA3esdK3oNT6Ygi4GtgWhwfi6OnQHVXIiNPRHE
zbbsvswAAAFZsoonHQAABAMARzBFAiAzqBNrLhcR7wrC2XFo/ThNjpxbOOJy97Kq
84H+IGOUMwIhAKRrgpYRrb357zpIG4JfLxkqUkxC1Vi2QgD6SlmGFySvAHYApLkJ
kLQYWBSHuxOizGdwCjw1mAT5G9+443fNDsgN3BAAAAFZsoonLAAABAMARzBFAiBt
/PlVm2oBObD9W6KHz/VeYBewF2CoYBzKkNqAUKt4RwIhAO4m0mGfe1fSLUs0cCtz
XUxYj5a2epbC7izuaKeG/ULBMA0GCSqGSIb3DQEBCwUAA4IBAQBGfBEKkqjIDPb9
rFqpsxoqikuXJSUvDnPN4qiFWinX2q04bVQa01pVTd0gh3L+1J5/io2TPYe7gNS9
n5f8KMfL94wCGJqhns3RtyiISuo+fUYxCEzAZuQWSZI+Gv8q2YnjnPT+Z9TbxlDm
iXrwak4z9p+uTUgYvp2jqZVRNpuNt7FnrIH9DGZAYQbTyRMF92kpQl7RY/FXFVnH
ldseMJXbxqmutirDDRt4DhJhqU21DeDUtG7cjD2Xee3vrplnG+LRuoMV6y5mbOkt
O3bz/NELtJgLsPnoXHly/cdCt++ku93T86/y4Y5FIp71UO3ZmrdtmqQwaYCHeLv2
TKLxfBds
-----END CERTIFICATE-----
subject=/CN=www.telecom-infoconso.fr
issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/OU=Domain Validated SSL/CN=Symantec Basic DV SSL CA - G2
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3532 bytes and written 473 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: DDE1D843D8318BB91E6B01799CEF5D2BB4A3A88F68C485CDF19EA0A286515E38
    Session-ID-ctx:
    Master-Key: 5F2BA58FB26471BCF678AA93071F6AA02E75D148869B4DE55D46BD96256340FAF51D81BAE97F1FF005E36FD955D3CA1F
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - a9 ba 03 e0 37 e3 af f8-f2 87 51 c2 46 a5 e6 93   ....7.....Q.F...
    0010 - 52 c9 ad 9f 0a 4d 23 9d-97 d2 2f 62 46 ad f2 c3   R....M#.../bF...
    0020 - 44 59 67 84 c4 52 8f fd-40 bb 6c 23 22 71 90 d1   DYg..R..@.l#"q..
    0030 - dd f6 89 b2 13 8c df d4-9f e9 65 4a fe 2c 16 57   ..........eJ.,.W
    0040 - 2f 6c a2 4d c5 44 2e f8-19 ed 2c d1 c4 1b f8 d1   /l.M.D....,.....
    0050 - 97 f7 41 51 97 d3 f1 a5-8e 7c 7c 16 3e 72 e7 7e   ..AQ.....||.>r.~
    0060 - 82 82 0b 6e 02 ce 8a f8-28 55 e2 92 34 5b 2a 6f   ...n....(U..4[*o
    0070 - a0 1c 32 12 48 f8 2d 5b-6f 52 85 96 89 6e 9b 82   ..2.H.-[oR...n..
    0080 - 8c 54 d7 3b ce 06 09 78-67 58 58 1c 23 72 fa f5   .T.;...xgXX.#r..
    0090 - 44 76 39 78 ed 9a 76 7e-61 c9 52 d1 f1 ea 66 f5   Dv9x..v~a.R...f.
    00a0 - 06 e0 55 99 ca b3 e6 90-61 ce a2 e1 d3 6e 4b 15   ..U.....a....nK.
    00b0 - 49 08 0e 26 79 f6 65 bd-da 0a 79 a1 3e 25 0b 19   I..&y.e...y.>%..
    00c0 - 0f 05 52 58 13 1f 8d 5f-9d 87 a2 f1 79 ff ce d0   ..RX..._....y...

    Start Time: 1496215726
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 11 juin 2017 à 18:51:44
L'ARCEP a de nouveau changé de certificat SSL.

1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

2 points positif :
- Le serveur Web est bien paramétré
- Le site est forcé en https via une redirection

Autre changement : les paramètres SSL sont agressifs et imposent le TLS 1.2, ce qui bloque les smartphones Android inférieur a Android 4.4.
Les version d'Internet Explorer à INtenret Explorer 11 sont également incapable d'aller sur le site de l'ARCEP.
Coté boot, j'ai bien peur que cela bloque les bot basé sur Windows server 2012. Cette version ne supporte pas TLS 1.2 et n'a pas d'Internet Explorer 11 disponible.

J'ai commencé a analyser les log de LaFibre.info, je pense ne pas pouvoir mettre une configuration aussi agressive avant fin 2018.


(https://lafibre.info/images/ssl/201706_arcep_ssl.png)
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Hugues le 11 juin 2017 à 19:55:51
1 point négatif : Terminé le certificat SSL Extended Validation, un certificat haut de gamme qui permet de savoir qui permet de savoir que le certificat est bien donné a la bonne entreprise.

Mais, je, euh, pourquoi ?  :o
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: FloBaoti le 12 juin 2017 à 10:19:52
Mais, je, euh, pourquoi ?  :o
Ça me va perso, c'est de l'argent public dépensé pour rien.
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Hugues le 12 juin 2017 à 12:46:20
ils en ont acheté deux du coup...
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: Gabi le 12 juin 2017 à 17:10:35
C'est surtout que là ils utilisent une wildcard sur *.anfr.fr, du coup pas possible d'avoir d'EV dessus...
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: TroniQ89 le 12 juin 2017 à 19:03:35
C'est surtout que là ils utilisent une wildcard sur *.anfr.fr, du coup pas possible d'avoir d'EV dessus...

https://www.youtube.com/watch?v=Ipl67KqEkWc
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: AlexPopov le 26 août 2017 à 14:35:33
Exemple pour LaFibre.info :
- https://lafibre.info/ === redirige vers ===> https://lafibre.info/
- http://www.lafibre.info/ === redirige vers ===> https://lafibre.info/
- https://www.lafibre.info/ === redirige vers ===> https://lafibre.info/
Bonjour vivien,

Une toute petite correction du 2ème message de ce sujet...

A part ça, merci pour les explications !
Titre: Les erreurs à ne pas faire quand on bascule son site en https
Posté par: vivien le 26 août 2017 à 16:02:26
Corrigé.