Messages récents

Pages: 1 ... 3 4 5 6 7 [8] 9 10
71
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.

La gestion des certificats est bien automatisée tout comme le "bug" qui à causé leur révocation dans la nuit d'hier.
72
Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.
Pour information, le nouveau certificat SSL du sous-domaine https://boutique.orange.fr , a, lui, été publié aujourd’hui, le dimanche 14/09/2025.

Encore une fois, vous n'allez pas apprendre l'informatique  aux équipes d'Orange.

Voir un post juste un peu au-dessus :
73
Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.

Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).
Pour être précis, Chrome supporte quand même l'OCSP Stapling (qui permet au serveur de fournir la réponse OCSP dans le handshake TLS).
Mais les serveurs Orange ne l'implémentent pas, si ça avait été le cas le comportement aurait dépendu du cache côté serveurs Orange (similaire à celui de Firefox sur l'OCSP).
74
Bbox fibre Installation Bbox fibre / Délai de connexion ethernet Bbox Ultym et PC
« Dernier message par marcorel le Hier à 16:30:38 »
Bonjour  à tous

des nouvelles sur ce petit souci ?
j'ai testé toutes les box du marché et c'est la seule qui fait ça :(  toutes les autres box on a bien la connectivité immédiate au lancement de windows.
ce petit délai de connexion au démarrage de win est pénible car j'ai des erreurs sur pas mal de mes prog qui demandent un accés à Internet rapidement au démarrage du PC.
75
Free Incidents Free / Freebox Pop qui redémarre toutes les 7/10 jours
« Dernier message par Pegasus38 le Hier à 16:29:29 »
Bon on va pousser sur le physique, t'as cmb en valeur optique ?
Ta jarretière optique ne fait pas d'angle bizarre ? Personne touche le câble chez toi ?
76
SFR Actus SFR Altice / Patrick Drahi envisagerait de vendre SFR ?
« Dernier message par jacobaci le Hier à 16:28:39 »
Mouais, je doute que le client lambda paye une assistance par téléphone pour avoir un script par IA debile qui vous dit de rebrancher la box.


Ce n'est que le début
Dans pas longtemps, t'auras l'équivalent de 10 000 ingénieurs télécom au bout du fil

77
Citer
Power : Fait preuve d'une compréhension erronée des protocoles de base du web sécurisé. Son argumentation repose sur des concepts invalides (cache de certificat par le navigateur) et son ton est inversement proportionnel à sa justesse technique. C'est un exemple de l'effet Dunning-Kruger.

hwti, Hugues, alain_p : Diagnostiquent correctement le problème comme étant côté serveur, en s'appuyant sur leur expérience et des explications logiques du fonctionnement de TLS.

acut3 : Fournit l'analyse la plus pointue en utilisant des données publiques et vérifiables (crt.sh, un journal de Transparence de Certificat) et en expliquant la mécanique interne des navigateurs qui justifie les expériences utilisateur différentes.

Voilà ce que mon IA (je ne dirais pas le nom), m'a dit. Vu qu'il va répondre avec une requête ChatGPT, je prends de l'avance

78
Apportez moi la preuve d'un curl.

Voir un post juste un peu au-dessus :

Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Et c'est bien l'ancien.
%  openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
          Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
          Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
    Request Extensions:
        OCSP Nonce:
            0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
    Produced At: Sep 13 15:56:26 2025 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
      Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
      Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
    Cert Status: revoked
    Revocation Time: Sep 13 00:16:04 2025 GMT
    This Update: Sep 13 15:39:10 2025 GMT
    Next Update: Sep 20 14:39:10 2025 GMT

    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
        c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
        cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
        3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
        1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
        fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
        ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
        48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
        9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
        9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
        27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
        71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
        30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
        3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
        39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT

Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.

Qualys voyait aussi l'ancien.
79
Sur crt.sh on voit qu'Orange émet normalement pour boutique.orange.fr un certificat en début d'année, valable pour un an. Ils ne sont pas normalement révoqués manuellement : Orange produit juste un nouveau certificat un peu avant l'expiration de l'ancien (comme il est d'usage).

Le certificat en question (https://crt.sh/?id=20992657742&opt=ocsp) a été révoqué le 2025-09-13 à 00:16:04 UTC, à la fois via OCSP et CRL, alors qu'il était normalement valide jusqu'au 2026-02-19.

Un nouveau certificat (https://crt.sh/?id=21010119072&opt=ocsp) a ensuite été émis le 2025-09-14 vers 08:41:58 UTC.

Ce n'est (évidemment) pas un problème de cache.

Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.

Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).
80
Justement les packet DHCP, ARP, RS/NS/NA ne devraient pas être en prio 0 mais 6 (cos 6 et dscp 6).
Pages: 1 ... 3 4 5 6 7 [8] 9 10