La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 21 décembre 2014 à 11:16:30
-
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu (mais pas sous Windows)
Simyo s'est fait révoquer son certificat SSL => #Fail: Simyo HS a cause d'un nom de domaine non renouvelé et SSL révoqué (https://lafibre.info/4g-bytel/simyo-hs/). J'ai réalisé quelques tests et je suis étonné de voir que Chrome ne bloque pas le site sous Android et Ubuntu. (Sous Windows, Chrome bloque bien le site, de même que les autres navigateurs, quel que soit la plate-forme)
Chrome et tous ses dérivés (Chromium ainsi que le navigateur par défaut d'Android) acceptent les certificats SSL révoqués !
Vérifié sur plusieurs versions :
- Android 4.2.2 sur Andy + Chrome
- Android 4.2.2 sur Andy + Navigateur par défaut d'android
- Android 4.4.4 sur Samsung Galayx s5 + Chrome
- Android 4.4.4 sur Samsung Galayx s5 + Navigateur par défaut d'android
- Ubuntu 14.10 + Chrome 38
- Ubuntu 14.10 + Chrome 39
- Ubuntu 14.04.1 + Chromium 39
- Ubuntu 14.10 + Chromium 39
Sur ces 8 cas, le site s'est affiché sans aucun problème, ni alerte (et même avec la barre verte sous Android)
Par contre sur Windows, Chrome 39 refuse d'afficher le site :
- Windows XP + Chrome 39
- Windows 8.1 + Chrome 39
- Windows XP + Firefox 34
- Windows Vista + Firefox 34
- Windows 8.1 + Firefox 34
- Ubuntu 14.10 + Firefox 34
- Windows XP + Internet Explorer 8
- Windows 8.1 + Internet Explorer 11
-
Quelques copie d'écran sous Ubuntu 14.10 64bits :
Ubuntu 14.10 + Firefox 34 :
(https://lafibre.info/testdebit/ubuntu/201412_ubuntu1410_firefox.png)
Ubuntu 14.10 + Chrome 39 :
(https://lafibre.info/testdebit/ubuntu/201412_ubuntu1410_chrome39_1.png)
(https://lafibre.info/testdebit/ubuntu/201412_ubuntu1410_chrome39_2.png)
-
Quelques copies d'écran sous Android 4.2.2 sur Andy :
Android 4.2.2 sur Andy + + Firefox 34 :
(https://lafibre.info/testdebit/android/201412_android422_firefox34.png)
Android 4.2.2 sur Andy + le navigateur par défaut d'Android :
(https://lafibre.info/testdebit/android/201412_android422_nav_default.png)
Android 4.2.2 sur Andy + Chrome 39 :
(https://lafibre.info/testdebit/android/201412_android422_chrome39_1.png)
(https://lafibre.info/testdebit/android/201412_android422_chrome39_2.png)
(https://lafibre.info/testdebit/android/201412_android422_chrome39_3.png)
(https://lafibre.info/testdebit/android/201412_android422.png)
-
Quelques copie d'écran sous Windows 8.1 :
Windows 8.1 + Firefox 34 :
(https://lafibre.info/testdebit/windows8/201412_win81_firefox34.png)
Windows 8.1 + Internet Explorer 11 :
(https://lafibre.info/testdebit/windows8/201412_win81_ie11.png)
Windows 8.1 + Chrome 39 :
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_1.png)
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_2.png)
-
Quelques copie d'écran sous Windows XP :
Windows XP + Firefox 34 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_firefox34.png)
Windows XP + Internet Explorer 8 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_ie8.png)
Windows XP + Chrome 39 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_chrome39.png)
Windows XP + Opera 26 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_opera26.png)
-
Le certificat utilisé par Simyo :
(https://lafibre.info/images/3g/201412_simyo_hs_6.png)
-
Redirection vers la version SANS https pour ma part à l'instant sous Chrome et Chromium (Ubuntu)
-
Le site Simyo (http://www.simyo.fr/) n'est pas entièrement en https
Seul les parties sensibles du sites sont en https (et forcées en https) :
- Commander (utilisé pour toutes mes copie d'écran)
- Espace client (en haut à droite)
- Contacter simyo (tout en bas)
Le reste est en http
-
Firefox sous Ubuntu accepte désormais https://www.simyo.fr/simyo-fr/portal/catalogue.do
Un changement depuis quelques minutes ?
-
Chez moi cela ne fonctionne toujours pas !
(https://lafibre.info/testdebit/ubuntu/201412_ubuntu1410_firefox.png)
-
Le bug est déja ouvert chez Google : https://code.google.com/p/chromium/issues/detail?id=362710
(Merci mccob (https://lafibre.info/profile/mccob/))
Issue 362710: Android browser does not check for certificate revocation
Bug ouvert le 11 avril 2014 et toujours pas corrigé !
2 raisons sont évoquées :
Marking this WontFix for two reasons:
1) Revocation checking is the responsibility of Android and the related SSL APIs. Android itself does not and has never performed revocation checking - use https://code.google.com/p/android/ .
2) Revocation checking generally doesn't work (as a security feature), and especially for mobile, greatly affects performance (negatively) and privacy (negatively)
J'hésite à le ré-ouvrir pour Ubuntu...
Je signale que Firefox sous Android arrive très bien à vérifier si les sites sont révoqués... un peu facile l'excuse.
Cette vidéo prend tout son sens...
https://www.youtube.com/watch?v=-NYOc_aTzHo
-
1) Ne me lance pas sur Firefox vs. la liberté.
2) Personne ne dit qu'il n'est pas possible de vérifier le statut de révocation. Il est question de savoir
- si ça a une utilité pour la sécurité de l'authentification (douteux),
- si c'est nuisible à une autre propriété de sécurité : la fiabilité,
- et si ça a un impact sur la vie privée (qu'on aussi classer dans la rubrique sécurité).
Bref, si ça ne nuit pas à la sécurité.
-
Je pense qu'il y a une typo dans la réponse concernant le bug ( https://code.google.com/p/chromium/issues/detail?id=362710 ):
il faut le comprendre comme ca:
1) Revocation checking is the responsibility of Android and the related SSL APIs. Android Chrome itself does not and has never performed revocation checking - use https://code.google.com/p/android/ .
Leur réponse est donc que c'est a Android de corriger le probleme, pas a Chrome.
Le débat ensuite est de savoir si c'est au navigateur ou a l'OS en dessous de faire la 'Revocation checking'.
Les devs de Chrome ont pris leur décision en 2012 (bien avant la tempete de revocations du a Heartbleed) et l'ont justifié ici: https://www.imperialviolet.org/2012/02/05/crlsets.html
-
Techniquement le problème est compris depuis longtemps et la solution au problème est connue : faire des certificats à durée de vie courte (mettons pas plus de 24 h) installés automatiquement.
Il suffirait donc de laisser les mauvais certificats expirer.
-
kgersen,
Si Google chrome sur Windows a une liste, poussé régulièrement, des certificats révoqués, pour quoi ce n'est pas le cas sous Ubuntu ou Android ?
L'idée d'une liste maintenu par l'éditeur du navigateur me semble effectivement une bonne solution (évite d'interroger à les serveurs pour chaque connexions https : on y gagne coté client et coté serveur). Il faudrait que je regarde le fonctionnement de Firefox sur ce point.
-
Cela ne me choque pas que la gestion des certificats soit poussée vers l'OS.
-
Tu es sûr que c'est Windows XP qui gère les certificats dans ma copie d'écran de Chrome sous Windows XP ?
(https://lafibre.info/testdebit/windowsxp/201412_winxp_chrome39.png)
-
kgersen,
Si Google chrome sur Windows a une liste, poussé régulièrement, des certificats révoqués, pour quoi ce n'est pas le cas sous Ubuntu ou Android ?
L'idée d'une liste maintenu par l'éditeur du navigateur me semble effectivement une bonne solution (évite d'interroger à les serveurs pour chaque connexions https : on y gagne coté client et coté serveur). Il faudrait que je regarde le fonctionnement de Firefox sur ce point.
La liste de Chrome (CRLsets) n'est plus utilisé et l'option dans les paramètres pour l'activer ou pas a été enlevé à partir de Chrome 38 (cet été).
Donc, comme dit dans le bug tracker, Chrome ne fait plus de contrôle et délègue tout a l'OS.
L'idée d'origine des CRLsets de 2012 n'etait pas pour corriger définitivement ce probleme mais pour répondre a des cas d'urgences importants.
Un peu plus d'explication la: https://www.imperialviolet.org/2014/04/29/revocationagain.html
En résumé: la sécurité est une vue d'ensemble plein de compromis ici et la. Télécharger et maintenir des listes de révocations est une manière de faire qui a ses avantages et ses inconvénients. Parmi ces derniers, et pas des moindres, on a des ralentissements et une augmentation du trafic: Cloudfare en paye le prix fort depuis Heartbleed avec pas moins de 1/2 millions de $ par mois rien qu'en trafic de CRL.
C'est une question de choix, choisir ou l'on dépense son temps et son argent.
Si vous voulez creuser la question a fond il faut lire les contre-arguments ici: https://www.grc.com/revocation/crlsets.htm (long et pointu).
-
Mais dans le cas de Windows XP, comment Chrome a vu que le certificat a été révoqué ?
Liste tenue à jour par l'OS ? Peu de chance car il n'est plus maintenu et c'est une machine virtuelle que j'utilise peu.
-
Sous Android 4.0.4, le site passe sur Firefox ! Sur le navigateur par défaut aussi.
-
On parle bien de l'url https://www.simyo.fr/simyo-fr/portal/catalogue.do ?
Chez moi cela ne passe pas avec Firerfox, sous Android 4.2 ou Android 4.4 (galaxy s5)
-
Mais dans le cas de Windows XP, comment Chrome à vu que le certificat a été révoqué ?
Liste tenu à jour par l'OS ? Peu de chance car il n'est plus maintenu et c'est une machine virtuelle que j'utilise peu.
oui c'est l'OS.
chez moi , ce site passe sous Chrome sous Windows 7. Sous FF ou IE il ne passe pas.
J'ai forcé la maj des CRL de Windows avec la commande suivante:
certutil -urlcache crl delete
puis quitter Chrome (important) et relancer Chrome et la le site ne passe plus.
Avec Chrome, c'est donc bien l'OS qui gere ca mais l'OS ne met pas a jour forcement tout seul (question de date notamment)...et il faut rebooter ou relancer Chrome de temps a autre...
-
Dans mon cas avec Windows XP, c’était une VM que je n'avais pas utilisé ou mis à jour depuis plusieurs semaines, donc il me semble étonnant que XP a récupéré la révocation.
Par contre Chrome est tout neuf, je l'ai téléchargé pour le test. Il a bien bloqué le site.
-
Dans mon cas avec Windows XP, c’était une VM que je n'avais pas utilisé ou mis à jour depuis plusieurs semaines, donc il me semble étonnant que XP a récupéré la révocation.
Par contre Chrome est tout neuf, je l'ai téléchargé pour le test. Il a bien bloqué le site.
C'est XP, chaque CRL a une limite de validité et est rafraîchi quand elle expire.
Il faut savoir aussi qu'il y a un cache disque, un cache mémoire et qu'a partir de Vista il y a un 2eme systeme (OCSP) avec , lui aussi, son propre cache.
tous les details ici : http://technet.microsoft.com/fr-fr/library/ee619754%28v=ws.10%29.aspx
-
On parle bien de l'url https://www.simyo.fr/simyo-fr/portal/catalogue.do ?
Chez moi cela ne passe pas avec Firerfox, sous Android 4.2 ou Android 4.4 (galaxy s5)
Oui on parle bien de celle-là.
-
Windows 8.1 officiel
IE11, FF34, Chrome 39
la fameuse page HTTPS de simyo s'affiche chez moi sur les 3 navigateurs.
Si quelqu'un a une idée ?
EDIT:
j'ai ma réponse en regardant le certificat sur IE "organisme de validation: AVAST"
Ce COXXXX d'antivirus signait un certificat révoqué !!!!!!!!!!!!!!!!!!
-
Cela signifie que ton anti-virus fait du "man in the middle" (MITM) et qu'en cas de petit bug ou de compromission, il peut laisser fuiter tes données échangées en https.
Ton anti-virus déchiffre le https pour vérifier ce qu'il passe dans la connexion chiffrée et le re-chiffre lui même.
Cela permet de détecter des virus sur des pages chiffrées avant qu'ils arrivent sur le navigateur web, mais cela a des effets de bord importants et dégrade les performances.
PS : C'est la version payante d'Avast ?
-
La version gratuite.
-
Cela signifie que la vérification des certificats n'est plus dans le navigateur de courriel, mais dans l'antivirus.
Donc tu ne peux plus gérer les certificats de confiance dans ton navigateur.
-
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu (mais pas sous Windows)
Simyo s'est fait révoquer son certificat SSL => #Fail: Simyo HS a cause d'un nom de domaine non renouvelé et SSL révoqué (https://lafibre.info/4g-bytel/simyo-hs/). J'ai réalisé quelques tests et je suis étonné de voir que Chrome ne bloque pas le site sous Android et Ubuntu. (Sous Windows, Chrome bloque bien le site, de même que les autres navigateurs, quel que soit la plate-forme)
Je ne suis pas un expert, mais chez moi le lien " Commander " sous Win 7 Pro 64 avec SP1 + Chrome Version 39.0.2171.95 m ca passe :
Voici les infos du certificat si cela peut aider un expert ...
-
J'ai réalisé une capture wireshark pour le téléchargement de https://lafibre.info/images/logo/lafibre.png, après avoir vidé mon cache et redémarré Windows 7.
=> Chrome41 ne fait pas d’accès pour vérifier si le certificat est révoqué
=> Firefox 36fait une demande à StartSSL pour savoir si mon certificat est révoqué (liste hébergée sur Akamai)
Chrome 41 :
La capture qui s'ouvre directement avec un Wireshark récent : 201503_win7_chrome41_https_download.pcapng.gz (https://lafibre.info/testdebit/windows7/201503_win7_chrome41_https_download.pcapng.gz)
(https://lafibre.info/testdebit/windows7/201503_win7_chrome41_https_download_2.png)
Vous vous demandez pourquoi Chrome ouvre deux connexion TCP vers 46.227.16.8 ?
Même pour l'affichage d'une image, Chrome récupère le fichier favicon.ico
Requêtes https Chrome :
"GET /images/logo/lafibre.png HTTP/1.1" 200 58914 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.76 Safari/537.36"
"GET /favicon.ico HTTP/1.1" 200 1217 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.76 Safari/537.36"
Requête https Firefox :
"GET /images/logo/lafibre.png HTTP/1.1" 200 58914 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0"
Firefox 36 :
La capture qui s'ouvre directement avec un Wireshark récent : 201503_win7_firefox36_https_download.pcapng.gz (https://lafibre.info/testdebit/windows7/201503_win7_firefox36_https_download.pcapng.gz)
(https://lafibre.info/testdebit/windows7/201503_win7_firefox36_https_download_2.png)
Si vous voulez savoir pourquoi il y a autant de requête DNS avec Firefox, c'est expliqué dans le post Firefox 36 double ses requêtes DNS avec une requête de type "ANY" (https://lafibre.info/logiciel/dns-any/)
Environnement :
- Hardware : Dell Inspiron 660, 8Go DDR3 et Core i3-2120 @3,3 Ghz
- OS : Windows 7 Édition Familiale Premium SP1 64bits pré-installé par Dell
- Réseau : Bbox ADSL Sagem F@st 3965b débit ATM de 5119/797 Kb/s IPv4 uniquement
- Anti-virus : Microsoft Security Essentiales
- Navigateur1 : Chrome 41.0.2272.76 m (64-bit)
- Navigateur2 : Firefox 36.0 32bits avec plug-in Flash 16