La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: benoit75015 le 20 décembre 2014 à 23:01:03
-
#Fail Happy Noel : Découvrez les anomalies critiques qui rendent le site Simyo inutilisable
Vous connaissez Simyo ? C'est la carte prépayée mobile low-cost par B&YOU.
C'est une marque de Bouygues Telecom
simyo est la Carte prépayée recommandée par B&YOU. Comme B&YOU, simyo bénéficie de la performance du réseau Bouygues Telecom. Depuis 2009, simyo est l'expert des offres prépayées low-cost 100% en ligne. En juillet 2012, l'offre simyo a été rattachée à B&YOU pour servir encore mieux ses clients, tout en restant fidèle à ses engagements de simplicité, de prix et liberté.
Voici le site http://www.simyo.fr
Pour Noël, Bouygues Telecom a caché pleins de bugs avec une majorités de liens inutilisables !
(https://lafibre.info/images/3g/201412_simyo_hs_1.png)
Je clique sur "commander" : Certificat SSL révoqué !
(https://lafibre.info/images/3g/201412_simyo_hs_2.png)
Je clique sur "carte expatriés" : Le nom de domaine n'existe plus !
(https://lafibre.info/images/3g/201412_simyo_hs_3.png)
Je clique sur "Espace client" : Certificat SSL révoqué !
(https://lafibre.info/images/3g/201412_simyo_hs_4.png)
Je clique sur "Blog simyo" : Le nom de domaine n'existe plus !
(https://lafibre.info/images/3g/201412_simyo_hs_5.png)
Bref, le site est complètement HS !
Pourquoi toutes les parties sécurisées ne s'affichent pas ?
Le certificat SSL semble avoir été révoqué parmi de nombres problèmes critiques sur le certificat :
(Pour rappel un site tel que Simyo doit impérativement avoir un A au test de https://www.ssllabs.com/ssltest/ )
(https://lafibre.info/images/3g/201412_simyo_hs_6.png)
Ok le https est cassé mais pourquoi le blog simyo qui est en http (pas bien au passage) ne fonctionne pas ?
Ils ont oublié de renouveler le nom de domaine chez OVH qui est arrivé à expiration !
(https://lafibre.info/images/3g/201412_simyo_hs_7.png)
-
Alala, le groupe Bouygues, toujours des soucis avec les noms de domaine lol.
Début 2014 c'est leur filiale TF1 qui oublia Wat.TV
Maintenant ça.
(et dire que Bouygues propose la vente de ndd : http://www.assistance.bouyguestelecom.fr/internet-bbox/services-bbox/deposer-un-nom-de-domaine-pro)
-
Je fais remonter le problème.
C'est effectivement assez grave d'avoir le certificat qui est révoqué : il est impossible de recharger (sauf à exploiter un bug de non vérification de la révocation)
Cordialement,
Boris de Bouygues Telecom.
-
Je me suis demandé si la révocation du certificat de Simyo n'était pas du sabotage...
Qui aurait pu réaliser cette révocation ? La personne qui a demandé ce certificat.
(https://lafibre.info/testdebit/android/201412_android422_chrome39_3.png)
La question est donc de savoir si c'est Bouygues Telecom ou KPN.
Le certificat date du 14 novembre 2011, donc il semblerait que le certificat a été demandé quelques jours avant le rachat de KPN France par Bouygues Telecom qui date de décembre 2011 :
L'opérateur néerlandais KPN vient d'annoncer la revente de sa filiale KPN France à Bouygues Telecom, qui récupère ainsi le MVNO Simyo, dont il était l'opérateur hôte. La vente de Simyo « va dans le sens de la stratégie de KPN hors de ses marchés domestiques, qui consiste à accélérer la croissance d'Ortel Mobile », déclare KPN dans un communiqué. Exclusivement distribuée via internet, l'offre Simyo revendique un positionnement low cost. KPN continuer à développer Ortel, un autre MVNO hébergé par Bouygues Telecom et à destination des immigrés.
Simyo compte environ 80.000 clients français, principalement des cartes prépayées.
La révocation est donc probablement une action de KPN et non de Bouygues Telecom.
Cela pourrait ne pas être une action de KPN visant à faire perdre du chiffre d'affaire à Bouygues Telecom, mais une révocation de tous les certificats de KPN, après avoir en pris des nouveaux le 29 octobre 2014, chez un autre fournisseur :
(https://lafibre.info/images/3g/201412_simyo_hs_8.png)
En attendant, cela bloque l’accès au site Internet (la partie pour commander ou recharger son compte) :
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_1.png)
(https://lafibre.info/testdebit/windowsxp/201412_winxp_opera26.png)
-
Je viens de tenter un rechargement, le Bug est toujours vivant.
il est toujours impossible de recharger son compte, ce qui est le comble pour un opérateur sans forfait.
-
L'astuce, en attendant que Bouygues Telecom répare le site, c'est de recharger :
- Sous Android avec le navigateur par défaut ou chrome
- Sous Linux (par exemple via une clé USB de boot) et d'installer Chromium qui ne fait pas la vérification de la révocation.
-
sous Windows et IE on peut avec les 'options Internet' du panneau de configuration (ou touche windows+r et taper 'inetcpl.cpl') désactiver le controle:
(https://lafibre.info/testdebit/windows7/201412_internet_explorer_desactivation_verification_certificats.png)
(cela marche sans redémarrer malgres ce qui est indiqué).
-
Nô problème sur iPad.... Bravo Apple
-
Finalement j'ai pu atteindre mon compte en désactivant temporairement le controle du certificat sous Firefox (Firefox 31.3.0 sous linux Mageia)
-
Effectivement, dans les préférences de Firefox, puis dans Avancé, il suffit de décocher la case "Interroger le répondeur OCSP pour confirmer la validité de vos certificats".
(https://lafibre.info/testdebit/ubuntu/201412_firefox_desactivation_verification_certificats.png)
-
Alala, le groupe Bouygues, toujours des soucis avec les noms de domaine lol.
Début 2014 c'est leur filiale TF1 qui oublia Wat.TV
Maintenant ça.
ca fait pas 2 fois de suite wat.tv ????
-
11 jours plus tard rien n'a changé :
- Certificat SSL toujours révoqué
- Nom de domaine non renouvelé
Une mort à petit feu de SIMYO...
Pour Noël, Bouygues Telecom a caché pleins de bugs avec une majorités de liens inutilisables !
(https://lafibre.info/images/3g/201412_simyo_hs_1.png)
-
chez moi le bouton "commander" fonctionne
ca va sur le lien : https://www.simyo.fr/simyo-fr/portal/catalogue.do
-
Avec quel navigateur ? quel système d’exploitation ?
Il y a des bugs sous Android et iOS qui font que la page s'affiche alors que le certificat est révoqué
J'ai ouvert un post a part, car il y a deux problèmes :
- Simyo qui n'a plus de certificat SSL valide (pb coté Simyo)
- Certains navigateurs qui avec certains systèmes d’exploitation affiche quand même la page Simyo alors qu'ils ne devraient pas (c'est ton cas et le pb est du coté du navigateur)
=> Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu (https://lafibre.info/cryptographie/chrome-ssl-revoques/)
-
Je suis sous Win 7 Pro 64 avec SP1 + Chrome Version 39.0.2171.95 m
-
Je suis sous Win 7 Pro 64 avec SP1 + Chrome Version 39.0.2171.95 m
idem chez moi ;) même OS (à jour), même navigateur.
-
Vous avez Avast ?
-
Effectivement j'avais oublié Avast qui déchiffre les données https et les re-chiffre avec son propre certificat.
Avast oublie de vérifier si le certificat est révoqué.
-
non pas d'Avast installé, uniquement AdBlock
-
Étonnant.
Serait-il possible d'afficher le certificat SSL ?
Je viens de vérifier et voici ce que j'obtiens avec différents navigateurs et OS pour https://www.simyo.fr/simyo-fr/portal/catalogue.do :
Windows 8.1 + Firefox 34 :
(https://lafibre.info/testdebit/windows8/201412_win81_firefox34.png)
Windows 8.1 + Internet Explorer 11 :
(https://lafibre.info/testdebit/windows8/201412_win81_ie11.png)
Windows 8.1 + Chrome 39 :
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_1.png)
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_2.png)
Ubuntu 14.10 + Firefox 34 :
(https://lafibre.info/testdebit/ubuntu/201412_ubuntu1410_firefox.png)
Android 4.2.2 sur Andy + + Firefox 34 :
(https://lafibre.info/testdebit/android/201412_android422_firefox34.png)
Windows XP + Firefox 34 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_firefox34.png)
Windows XP + Internet Explorer 8 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_ie8.png)
Windows XP + Chrome 39 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_chrome39.png)
Windows XP + Opera 26 :
(https://lafibre.info/testdebit/windowsxp/201412_winxp_opera26.png)
-
Vous avez Avast ?
non. je n'ai que MSE (çà suffit pour ce que je fais)
-
pour moi, le certificat est le même ...
14/nov 2011 => 16/10 2017
-
pour moi, le certificat est le même ...
14/nov 2011 => 16/10 2017
Pareil, et ça marche parfaitement sur Win8.1/Chrome 39.
-
Comment forcer la mise à jour Windows de la liste des certificats révoqués ?
Cette liste est utilisée par Internet Explorer, Chrome et probablement Opéra. Par contre Firefox ne l'utilise pas si j'ai bien compris.
Nico, tu confirmes que avec Firefox, cela bloque ?
-
Chez moi, çà bloque avec IE + W7 pro (à jour) mais pas avec Chrome ...
-
Pour "Chrone" Dans "Paramètres" puis "paramètres avancés" puis "Gerer les cerifs" puis supprimer "VeriSign" pour forcer le nouveau
-
Chez moi, çà bloque avec IE + W7 pro (à jour) mais pas avec Chrome ...
Idem chez moi sous Wiu 7 Pro + SP1...
Ca passe pas sous IE
Mais ok sous chrome
-
Comment forcer la mise à jour Windows de la liste des certificats révoqués ?
Pour Vista et supérieur, jette un coup d'oeil là : http://blogs.technet.com/b/pki/archive/2007/09/13/how-to-refresh-the-crl-cache-on-windows-vista.aspx
et là : http://support2.microsoft.com/kb/931125/en-us
-
Nico, tu confirmes que avec Firefox, cela bloque ?
Effectivement.
-
Pour moi pour l'instant ça fonctionne avec Chrome et Firefox + Windows 7 x64 Pro. Je supprime les certificats et je réessaie...
-
Effectivement ça bloque sous FF et IE mais toujours pas dans Chrome.
-
Avec un Ubuntu 13.04 + FF fraichement booté, j'ai pu accèder au site 2-3 fois. Ensuite il voit qu'il est révoqué.
-
Sous Windows 8.1 x64 :
Chrome : OK
IE 11 : OK
Firefox : KO
Sur mon PC sous Windows 7 le site est toujours bloqué par IE 11...
-
C'est étrange ces différences.
Sous Windows 8.1 à jour, après un reboot, impossible d'accéder à la page que ce soit sous Chrome 39, IE 11 ou Firefox 34.
C'est un PC avec Windows 8.1 pré-installé par Dell, et je suis un peu étonné de voir des certificats Dell : certutil -URLcache CRL
http://dellincca.dell.com/crl/externalissuingca2.crl
http://dellincca.dell.com/crl/sub.crl
http://cdp1.public-trust.com/CRL/Omniroot2025.crl
http://crl.geotrust.com/crls/secureca.crl
http://mscrl.microsoft.com/pki/mscorp/crl/mswww(6).crl
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://dellincca.dell.com/crl/externalissuingca1.crl
http://crl.comodoca.com/UTN-DATACorpSGC.crl
http://mscrl.microsoft.com/pki/mscorp/crl/MSIT%20Machine%20Auth%20CA%202(1).crl
http://crl.globalsign.net/root.crl
http://mscrl.microsoft.com/pki/mscorp/crl/msitwww2.crl
http://www.public-trust.com/cgi-bin/CRL/2018/cdp.crl
http://crl.comodoca.com/AddTrustExternalCARoot.crl
-
Le PC de ma mère sous Windows 8.1 est un Asus. Il y avait 3 mises à jour pour au total 785 Mo qui sont en train de télécharger (à 4 ko/s merci Orange, ce n'est pas la première fois). Je regarderai demain...
-
Chez moi avec Mageia 4 et firefox ESR 31.3.0 cela fonctionne pleinement avec la vérification du certificat.
Nouveau certificat émis pour Bouygues Telecom et valable du 30/12/2014 au 31/12/2018
Le problème de base est donc corrigé, mais cela à permis de se poser des questions sur le "sérieux" avec lequel les navigateurs ou les OS vérifient ou ne vérifient pas les certificats. :-[
La sécurité informatique est une chaine dont la solidité dépend de la robustesse du maillon le plus faible.
-
C'est un PC avec Windows 8.1 pré-installé par Dell, et je suis un peu étonné de voir des certificats Dell :
Non, c'est normal, si un des certificats préinstallés par Dell a une référence à ses propres serveurs de révocation.
Que donne la liste des certificats installés dans la partie 'ordinateur' ?
p.ex. en Powershell
gci Cert:\LocalMachine -rec | ? { $_.Issuer -match 'dell' }
-
Voici le résultat de la commande.
Si je comprends bien, il y a donc un seul certificat Dell sur mon PC alors qu'il y a 3 url différentes pour récupérer des listes de certificats Dell révoqués >:(
-
Le nouveau certificat semble avoir été mis en prod aujourd'hui et cela fonctionne partout maintenant.
Avant :
(https://lafibre.info/testdebit/android/201412_android422_chrome39_3.png)
Maintenant :
(https://lafibre.info/images/3g/201501_simyo_certificat_ssl_1.png)
Tout n'est pas parfait : Un "F" (la pire note) sur SSL Report est même catastrophique
(https://lafibre.info/images/3g/201501_simyo_certificat_ssl_2.png)
-
On fait pire : https://www.ssllabs.com/ssltest/analyze.html?d=cas.my.ecp.fr :)
-
Pour ceux qui ne connaissent pas, les SSL_CK* sont les suites de SSL v2, un protocole vraiment très mal conçu qui utilisait les mêmes clefs privées plusieurs fois, ce qui va à l'encontre d'un des principes les plus fondamentaux de la conception d'un protocole : une clé ne doit avoir qu'un seul usage.
-
On fait pire : https://www.ssllabs.com/ssltest/analyze.html?d=cas.my.ecp.fr :)
C'est "juste" que le certificat a été signé par l'autorité de certification CAcert (http://www.cacert.org), qui ne fait pas partie des autorités de confiance dont les certificats sont présents de base dans les navigateurs.
Ce n'est pas forcèment déconnant pour un site d'université qui ne souhaite pas payer (et qui ne connaît pas, ou ne souhaite pas utiliser
StartSSL (https://www.startssl.com) :P)
Par contre, il faut que le certificat de l'autorité soit ajoutée à la main dans le navigateur.
En dehors de ça, le site s'en sort avec la note B.
-
Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.
CAcert Inc. est une association à but non lucratif enregistrée en Australie.
StartCom est l'éditeur de la distribution Linux "StartCom Linux Enterprise" en Israël, crée par Eddy Nigg.
-
Le problème de base est donc corrigé, mais cela à permis de se poser des questions sur le "sérieux" avec lequel les navigateurs ou les OS vérifient ou ne vérifient pas les certificats. :-[
La sécurité informatique est une chaine dont la solidité dépend de la robustesse du maillon le plus faible.
Tiens d'ailleurs :
1.3.3 Relying Parties
A relying party is an individual or entity that acts in reliance
of a certificate and/or of a digital signature issued under the
StartCom Certification Authority. A relying party may or may not
also be a subscriber of the StartCom Certification Authority.
Naturally the person who ultimately receives a signed document or
communication, or accesses a secured website is referred to as
the “Relying Party”, e.g. he/she is relying on the certificate
and has to make a decision on whether to trust it.
1.4.2.4 Relying Party Obligations
• Read the procedures published in this document.
• Use the certificates for the permitted uses only.
• Understand the limitations of the liability and warranties as
published in this document.
• Not assume any authorization attributes based solely on an
entity's possession of a StartCom Certification Authority
issued certificate.
• Must verify the certificate against the revocation list (CRL)
and/or OCSP responder, check against expiry time, certificate
chain, the validity check of the certificates in the chain and
the identification of the domain and email.
• Must not use the information contained in the certificates to
harass or spam the party stated in the certificate, harvest or
use the details other than necessary in order to build an
opinion about it's content for reliance.
https://www.startssl.com/policy.pdf
-
Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.
CAcert Inc. est une association à but non lucratif enregistrée en Australie.
StartCom est l'éditeur de la distribution Linux "StartCom Linux Enterprise" en Israël, crée par Eddy Nigg.
Chrome utilise la CA root list de l'OS. Donc c'est a Microsoft et les autres d'inclure ce CA par défaut.
Source: https://code.google.com/p/chromium/issues/detail?id=78272
-
Ce n'est pas forcèment déconnant pour un site d'université qui ne souhaite pas payer (et qui ne connaît pas, ou ne souhaite pas utiliser
StartSSL (https://www.startssl.com) :P)
Je sais bien, je suis passé par VIA :)
Le souci pour nous n'est pas financier mais politique : nous préférons la façon de faire de CACert (et nous maintenons, année après année, une base de gens avec suffisamment de points pour signer des certificats, dans les équipes renouvelées chaque année), à celle d'autorités de certification moins regardantes dès lors qu'on paie.
-
Pas de certificats faits par Asus sur leurs PC apparemment.
-
Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.
En effet :
3.2.2.1.2 Domain Names
Fully qualified domain names, typically “www.domain.com” or
“domain.com” are validated by sending an electronic mail
message with a verification code to one of the following
administrative electronic mail accounts:
● webmaster@domain.com
● hostmaster@domain.com
● postmaster@domain.com
Additionally the existence of the domain name is verified by
checking the WHOIS records provided by the domain name
registrar. If the WHOIS data contain additional email
addresses, they may be offered as additional choices to the
above mentioned electronic mail accounts.
https://www.startssl.com/policy.pdf