La Fibre
Télécom => Logiciels et systèmes d'exploitation => Linux => Discussion démarrée par: Kartman le 25 novembre 2018 à 19:18:36
-
Bonjour,
Je n'arrive pas à me connecter aux domaines lié à eclipse.org depuis mon pc si j'utilise la liaison carte ethernet intégré -> routeur.
Le probleme n'est pas lié à linux car j'ai testé vite fait sur windows 10 et j'ai eu le meme resultat mais comme ubuntu étant mon système de principal, je poste ici.
traceroute depuis le pc via ethernet
traceroute to eclipse.org (198.41.30.198), 30 hops max, 60 byte packets
1 pfSense.lan (192.168.10.1) 0.372 ms 0.345 ms 0.327 ms
2 10.36.128.1 (10.36.128.1) 6.729 ms 6.686 ms 6.709 ms
3 crp1rj-ge-0-1-5.100.numericable.net (213.245.253.225) 6.938 ms 6.715 ms 6.671 ms
4 172.19.132.146 (172.19.132.146) 14.960 ms 18.620 ms 14.995 ms
5 be4355.ccr31.par04.atlas.cogentco.com (149.6.164.69) 12.056 ms 12.104 ms 12.079 ms
6 be3184.ccr42.par01.atlas.cogentco.com (154.54.38.157) 12.215 ms 11.059 ms 14.779 ms
7 be12489.ccr42.lon13.atlas.cogentco.com (154.54.57.69) 22.273 ms be12497.ccr41.lon13.atlas.cogentco.com (154.54.56.129) 19.094 ms 18.992 ms
8 be3487.ccr51.lhr01.atlas.cogentco.com (154.54.60.6) 20.170 ms 20.082 ms be3488.ccr52.lhr01.atlas.cogentco.com (154.54.60.14) 20.112 ms
9 be2491.ccr22.lpl01.atlas.cogentco.com (154.54.39.117) 26.337 ms 26.420 ms 26.350 ms
10 be3042.ccr21.ymq01.atlas.cogentco.com (154.54.44.162) 95.526 ms be3043.ccr22.ymq01.atlas.cogentco.com (154.54.44.166) 95.583 ms 95.563 ms
11 be3259.ccr31.yyz02.atlas.cogentco.com (154.54.41.205) 103.000 ms be3260.ccr32.yyz02.atlas.cogentco.com (154.54.42.89) 106.782 ms be3259.ccr31.yyz02.atlas.cogentco.com (154.54.41.205) 106.675 ms
12 te0-0-2-3.agr12.yyz02.atlas.cogentco.com (154.54.5.162) 106.899 ms te0-0-2-0.agr12.yyz02.atlas.cogentco.com (154.54.3.146) 106.842 ms 106.825 ms
13 38.122.68.178 (38.122.68.178) 117.646 ms 117.627 ms 117.599 ms
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
traceroute depuis le pc via partage connexion usb -> 4g bouygues
traceroute to eclipse.org (198.41.30.198), 30 hops max, 60 byte packets
1 _gateway (192.168.42.129) 1.656 ms 1.725 ms 1.756 ms
2 10.125.114.73 (10.125.114.73) 53.987 ms 62.939 ms 62.923 ms
3 10.125.122.28 (10.125.122.28) 62.903 ms 62.885 ms 62.923 ms
4 10.125.122.50 (10.125.122.50) 71.263 ms 71.149 ms 72.236 ms
5 89.89.100.208 (89.89.100.208) 63.603 ms 63.547 ms 71.101 ms
6 * * *
7 ge-2-1-0.mpr1.lhr2.uk.above.net (195.66.224.76) 62.073 ms 55.067 ms 55.005 ms
8 ae11.mpr2.lhr2.uk.zip.zayo.com (64.125.30.52) 62.130 ms 62.039 ms 62.127 ms
9 ae27.cs1.lhr11.uk.eth.zayo.com (64.125.30.236) 120.401 ms 120.462 ms 129.707 ms
10 ae5.cs1.lga5.us.eth.zayo.com (64.125.29.126) 120.312 ms 120.410 ms 120.488 ms
11 ae1.mcs1.lga5.us.eth.zayo.com (64.125.29.201) 121.886 ms 142.269 ms 152.188 ms
12 * * *
13 ae3.gw1-nyc.bb.allstream.net (216.191.65.133) 145.097 ms 109.040 ms 125.697 ms
14 ge7-11.hcap5-ott.bb.allstream.net (199.212.172.182) 141.485 ms 144.800 ms 141.451 ms
15 216.191.235.18 (216.191.235.18) 144.400 ms 137.836 ms 141.646 ms
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
traceroute pc via partage connexion -> wifi (mon reseau local)
traceroute to eclipse.org (198.41.30.198), 30 hops max, 60 byte packets
1 _gateway (192.168.42.129) 2.275 ms 2.554 ms 2.634 ms
2 pfSense.lan (192.168.10.1) 84.989 ms 85.002 ms 85.066 ms
3 10.36.128.1 (10.36.128.1) 90.787 ms 90.778 ms 90.862 ms
4 crp1rj-ge-0-1-5.100.numericable.net (213.245.253.225) 91.077 ms 90.985 ms 90.959 ms
5 172.19.132.146 (172.19.132.146) 101.565 ms 97.903 ms 101.550 ms
6 be4355.ccr31.par04.atlas.cogentco.com (149.6.164.69) 96.332 ms 15.219 ms 15.460 ms
7 be3183.ccr41.par01.atlas.cogentco.com (154.54.38.65) 15.359 ms be3184.ccr42.par01.atlas.cogentco.com (154.54.38.157) 15.465 ms be3183.ccr41.par01.atlas.cogentco.com (154.54.38.65) 15.273 ms
8 be12489.ccr42.lon13.atlas.cogentco.com (154.54.57.69) 22.816 ms be12497.ccr41.lon13.atlas.cogentco.com (154.54.56.129) 22.372 ms 21.907 ms
9 be3487.ccr51.lhr01.atlas.cogentco.com (154.54.60.6) 23.390 ms be3488.ccr52.lhr01.atlas.cogentco.com (154.54.60.14) 23.049 ms be3487.ccr51.lhr01.atlas.cogentco.com (154.54.60.6) 22.729 ms
10 be2391.ccr21.lpl01.atlas.cogentco.com (154.54.39.150) 29.367 ms 31.561 ms be2491.ccr22.lpl01.atlas.cogentco.com (154.54.39.117) 31.647 ms
11 be3043.ccr22.ymq01.atlas.cogentco.com (154.54.44.166) 99.968 ms 99.911 ms 99.641 ms
12 be3260.ccr32.yyz02.atlas.cogentco.com (154.54.42.89) 107.288 ms 106.955 ms 107.113 ms
13 te0-0-2-3.agr12.yyz02.atlas.cogentco.com (154.54.5.162) 106.907 ms 108.381 ms te0-0-2-0.agr12.yyz02.atlas.cogentco.com (154.54.3.146) 108.396 ms
14 38.122.68.178 (38.122.68.178) 118.509 ms 118.709 ms 118.626 ms
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
curl via ethernet integré
curl -v https://eclipse.org
* Rebuilt URL to: https://eclipse.org/
* Trying 198.41.30.198...
* TCP_NODELAY set
* Connected to eclipse.org (198.41.30.198) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to eclipse.org:443
* stopped the pause stream!
* Closing connection 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to eclipse.org:443
curl -v http://download.eclipse.org
* Rebuilt URL to: download.eclipse.org/
* Trying 198.41.30.199...
* TCP_NODELAY set
* Connected to download.eclipse.org (198.41.30.199) port 80 (#0)
> GET / HTTP/1.1
> Host: download.eclipse.org
> User-Agent: curl/7.61.0
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
< Server: nginx
< Date: Sun, 25 Nov 2018 17:41:53 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< location: https://www.eclipse.org/downloads/
< X-NodeID: download1
< X-Proxy-Cache: HIT
<
curl -v http://download.eclipse.org/tools/cdt/releases/9.5/
* Trying 198.41.30.199...
* TCP_NODELAY set
* Connected to download.eclipse.org (198.41.30.199) port 80 (#0)
> GET /tools/cdt/releases/9.5/ HTTP/1.1
> Host: download.eclipse.org
> User-Agent: curl/7.61.0
> Accept: */*
>
* Recv failure: Connexion ré-initialisée par le correspondant
* stopped the pause stream!
* Closing connection 0
curl: (56) Recv failure: Connexion ré-initialisée par le correspondant
curl via partage connexion
curl -v https://eclipse.org
* Rebuilt URL to: https://eclipse.org/
* Trying 198.41.30.198...
* TCP_NODELAY set
* Connected to eclipse.org (198.41.30.198) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* NPN, negotiated HTTP2 (h2)
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Next protocol (67):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: C=CA; ST=Ontario; L=Ottawa; O=Eclipse.org Foundation, Inc.; OU=IT; CN=*.eclipse.org
* start date: Jan 17 00:00:00 2017 GMT
* expire date: Mar 2 12:00:00 2020 GMT
* subjectAltName: host "eclipse.org" matched cert's "eclipse.org"
* issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x560d874e7d00)
> GET / HTTP/2
> Host: eclipse.org
> User-Agent: curl/7.61.0
> Accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 302
< server: nginx
< date: Sun, 25 Nov 2018 16:32:50 GMT
< content-type: text/html; charset=iso-8859-1
< content-length: 208
< location: https://www.eclipse.org/
< cache-control: max-age=86400
< expires: Mon, 26 Nov 2018 14:55:36 GMT
< strict-transport-security: max-age=15552000; includeSubDomains; preload
< x-frame-options: SAMEORIGIN
< x-content-type-options: nosniff
< x-xss-protection: 1; mode=block
< x-proxy-cache: HIT
<
curl depuis une machine virtuel dans mon réseau web
curl -v http://download.eclipse.org/tools/cdt/releases/9.5/
* Trying 198.41.30.199...
* TCP_NODELAY set
* Connected to download.eclipse.org (198.41.30.199) port 80 (#0)
> GET /tools/cdt/releases/9.5/ HTTP/1.1
> Host: download.eclipse.org
> User-Agent: curl/7.61.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx
< Date: Sun, 25 Nov 2018 16:42:21 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Vary: Accept-Encoding
< X-NodeID: download1
< X-Proxy-Cache: HIT
<
J'ai tendance a incriminé mon firewall pfsense mais le fait que la connexion "partage de connexion avec mon wifi local" se fait j'arrive pas à isoler le problème.
Le problème est apparu il y a moins de 2 semaines je pense et j'ai pensé a un problème de dns donc j'ai pas pris la peine d'investigué mais cela m'a embêté aujourd'hui car je voulais mettre a jour eclipse et évidement ce fut impossible.
Pour résumer les configurations qui marchent:
-> Systèmes connectés via mon réseau web qui ont que les ports 80 et 443 d'autorisés
-> Systèmes connectés via mon réseau local qui passe par mon point d'access wifi
La connexion semble bien etablié d'après l'etats de connexion
LAN tcp 192.168.10.21:40442 -> 198.41.30.199:80 FIN_WAIT_2:ESTABLISHED 4 / 3 335 B / 164 B
WAN tcp x.x.x.x:40020 (192.168.10.21:40442) -> 198.41.30.199:80
LAN tcp 192.168.10.21:36860 -> 198.41.30.198:443 ESTABLISHED:ESTABLISHED 3 / 2 681 B / 112 B
WAN tcp x.x.x.x:59238 (192.168.10.21:36860) -> 198.41.30.198:443 ESTABLISHED:ESTABLISHED
Un peu long mais j’espère n'avoir rien oublié d'important.
-
Je suis sur le réseau Numericable comme toi, mais avec une IP SFR alors que ton IP est une IP Numericable (certains clients ont des IP SFR d'autres des IP Numericable).
Le chemin en sortie est le même (je sors directement par les peering Numericable) par contre le chemin en entrée est différent (je passe par le réseau de SFR avant de basculer sur le réseau Numericable en entrée)
Je ne rencontre aucun problème pour joindre eclipse.org, voici le MTR :
mtr -zrwc100 eclipse.org
Start: 2018-11-25T19:38:25+0100
HOST: vivien Loss% Snt Last Avg Best Wrst StDev
1. AS??? _gateway 0.0% 100 0.2 0.3 0.2 0.8 0.1
2. AS??? ? ? 100.0 100
3. AS21502 evy1rj-ge-1-1-5.200.numericable.net 0.0% 100 6.3 6.5 5.6 8.8 0.5
4. AS??? 172.19.132.146 0.0% 100 11.6 11.8 7.2 17.0 2.5
5. AS174 be4355.ccr31.par04.atlas.cogentco.com 0.0% 100 8.3 8.5 7.2 50.6 4.3
6. AS174 be3184.ccr42.par01.atlas.cogentco.com 0.0% 100 8.1 18.9 7.9 55.1 14.8
7. AS174 be12489.ccr42.lon13.atlas.cogentco.com 0.0% 100 16.1 16.2 15.1 25.0 1.3
8. AS174 be3488.ccr52.lhr01.atlas.cogentco.com 0.0% 100 16.3 16.9 16.1 18.5 0.5
9. AS174 be2491.ccr22.lpl01.atlas.cogentco.com 0.0% 100 22.8 23.5 22.3 57.3 3.5
10. AS174 be3043.ccr22.ymq01.atlas.cogentco.com 0.0% 100 92.1 92.3 91.4 94.1 0.5
11. AS174 be3260.ccr32.yyz02.atlas.cogentco.com 0.0% 100 98.9 99.8 98.4 105.5 0.8
12. AS174 te0-0-2-3.agr12.yyz02.atlas.cogentco.com 0.0% 100 99.2 99.9 98.8 106.3 0.9
13. AS174 38.122.68.178 0.0% 100 110.0 110.8 109.9 117.2 1.0
14. AS54412 www.eclipse.org 0.0% 100 110.9 110.6 109.8 112.8 0.6
Le problème est donc dans le sens AS54412 => Numericable, sachant que AS54412 => SFR est ok.
AS54412 = Rogers Communications Canada Inc = l'hébergeur du site web
-
J'ai tendance à éliminer un problème de réseau extérieur mais je vois pas quel élèment chez moi j'ai mal configuré pour avoir ce problème.
voici mon mtr:
mtr -zrwc100 eclipse.org
Start: 2018-11-25T19:45:29+0100
HOST: Ubuntu-PC Loss% Snt Last Avg Best Wrst StDev
1. AS??? pfSense.lan 0.0% 100 0.2 0.2 0.1 0.4 0.0
2. AS??? 10.36.128.1 0.0% 100 6.8 6.7 5.3 10.8 0.9
3. AS21502 crp1rj-ge-0-1-5.100.numericable.net 0.0% 100 7.1 6.7 3.7 14.1 1.1
4. AS??? 172.19.132.146 0.0% 100 11.5 14.9 10.2 23.7 2.6
5. AS174 be4355.ccr31.par04.atlas.cogentco.com 0.0% 100 11.8 12.2 9.0 22.8 1.3
6. AS174 be3183.ccr41.par01.atlas.cogentco.com 0.0% 100 12.3 12.3 11.0 16.8 1.0
7. AS174 be12497.ccr41.lon13.atlas.cogentco.com 0.0% 100 20.0 19.7 18.3 22.8 0.7
8. AS174 be3487.ccr51.lhr01.atlas.cogentco.com 0.0% 100 20.0 20.8 19.3 31.8 1.4
9. AS174 be2391.ccr21.lpl01.atlas.cogentco.com 0.0% 100 26.5 26.9 25.5 38.5 1.4
10. AS174 be3042.ccr21.ymq01.atlas.cogentco.com 0.0% 100 95.9 95.9 94.6 104.5 1.1
11. AS174 be3259.ccr31.yyz02.atlas.cogentco.com 0.0% 100 103.7 103.3 102.1 113.6 1.2
12. AS174 te0-0-2-0.agr12.yyz02.atlas.cogentco.com 0.0% 100 102.6 103.8 102.3 119.1 1.8
13. AS174 38.122.68.178 0.0% 100 113.8 114.1 113.0 117.7 0.8
14. AS54412 www.eclipse.org 0.0% 100 120.8 114.5 113.2 120.8 1.0
J’exclus un problème système donc il ne me reste que mon firewall mais je ne m'explique pas pourquoi cela fonctionne si j'utilise un appareil en wifi qui est sur mon réseau LAN donc avec les mêmes règles que mes appareils reliés en ethernet directement sur le switch.
Mon switch est un switch basique donc je l'exclus aussi car il n'est pas configurable.
-
Contrairement a tes précédents traceroute, là cela semble fonctionner, non ?
-
Je suis pas expert réseaux mais d’après ce que je vois j'arrive toujours à initier et garder la connexion tcp mais il y a un problème lors du handshake TLS quand j'utilise un appareil relier directement en ethernet au switch.
Et le problème semble être apparu du jour au lendemain.
Un curl sur http://eclipse.org me retourne bien le résultat pour me signifier la redirection vers https par contre celui vers http://download.eclipse.org/tools/cdt/releases/9.5/
échouer et je ne m'explique pas.
-
J'ai aussi essayé des curl vers les 3 url que tu propose et je ne note aucun problème. (ma version de curl : curl 7.61.0 (x86_64-pc-linux-gnu) libcurl/7.61.0 OpenSSL/1.1.1 zlib/1.2.11 libidn2/2.0.5 libpsl/0.20.2 (+libidn2/2.0.4) nghttp2/1.32.1 librtmp/2.3)
Ce que j'ai trouvé anormal par contre, c'est tes traceroute qui ne vont pas jusqu'au serveur alors que ce dernier répond bien aux ping.
J'ai regardé la configuration du serveur, c'est une configuration classique qui écoute avec TLS 1.0 , TLS 1.1 et TLS 1.2 en IPv4 uniquement. Il est classé A+ par SSL Labs.
Bref, j'ai un peu de mal à comprendre ce qui ne marche pas chez toi et si c'est du bas niveau (serveur injoignable) ou dans les coches hautes comme une mauvaise configuration d'nginx (le serveur web utilisé est nginx)
-
A propos de cette erreur : " OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to eclipse.org:443", il y a ce rapport de bug intéressant sur le site de curl :
https://github.com/curl/curl/issues/1520
Cela semble lié à la suite de ciphers utilisé par Openssl, et cela se manifestait seulement sur le réseau de son université, pour la personne concernée. Je note que quand cela réussit, tu as ce cipher d'indiqué :
"* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384"
On peut penser à un filtrage quelconque, ou une inspection de paquets, qui ne fait pas bon ménage avec certains ciphers.
A noter que dans son cas, cela avait été résolu avec la nouvelle version de curl, 7.56.0.
Tu pourrais essayer la même commande avec :
curl -v --ciphers ECDHE-ECDSA-AES128-GCM-SHA256 https://eclipse.org
Comme dans le lien indiqué.
-
Si tu pense à une attaque Mitm, il serait intéressant de vérifier que le certificat https est bien le bon :
DigiCert SHA2 High Assurance Server CA
Valid from Tue, 17 Jan 2017
Valid until Mon, 02 Mar 2020
-
Pour répondre rapidement curl avec la sélection du ciphers retourne curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure.
J'y ai pas du tout pensé et je viens de verifier et rien d'anormal.
openssl s_client -connect eclipse.org:443
CONNECTED(00000005)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify return:1
depth=0 C = CA, ST = Ontario, L = Ottawa, O = "Eclipse.org Foundation, Inc.", OU = IT, CN = *.eclipse.org
verify return:1
---
Certificate chain
0 s:C = CA, ST = Ontario, L = Ottawa, O = "Eclipse.org Foundation, Inc.", OU = IT, CN = *.eclipse.org
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
1 s:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHZjCCBk6gAwIBAgIQBXStleLgQwEVQJT+V/d0SzANBgkqhkiG9w0BAQsFADBw
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMS8wLQYDVQQDEyZEaWdpQ2VydCBTSEEyIEhpZ2ggQXNz
dXJhbmNlIFNlcnZlciBDQTAeFw0xNzAxMTcwMDAwMDBaFw0yMDAzMDIxMjAwMDBa
MHwxCzAJBgNVBAYTAkNBMRAwDgYDVQQIEwdPbnRhcmlvMQ8wDQYDVQQHEwZPdHRh
d2ExJTAjBgNVBAoTHEVjbGlwc2Uub3JnIEZvdW5kYXRpb24sIEluYy4xCzAJBgNV
BAsTAklUMRYwFAYDVQQDDA0qLmVjbGlwc2Uub3JnMIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAtiSzPmMwlHagBFfAIhE0eoeconPwKS33vmsYP1NOCvU1
Qq/Kp9I/srR/b0Ive+moXWKvXsn+rXcnfAkmKKjaczjiam86KAvrSjKprSrBAJZ7
oKcl//Dh10GZFK85Q4BRgGAPaL8RtcnV74UMYiIBl0QEt+2hS/SLyvCKJgGbbmZp
blSEM/TcpRludIem9jdo87QVXhg4cnaNCwru5ggoyoLi4WbpZ3divBGVZ8A3I9QX
Y9jxEChAWqb+5pU26b4CV7gpM+AoVYsLHBh6DXgB3eMaw2247qGpAF75V78LcKsK
TtSRkEe2Zjv0+eW9HmCcO7iCFg3DWvCmn3Xje7SSiQIDAQABo4ID7jCCA+owHwYD
VR0jBBgwFoAUUWj/kK8CB3U8zNllZGKiErhZcjswHQYDVR0OBBYEFO+p0az31ile
uby2MgTXMMEIdOmTMCUGA1UdEQQeMByCDSouZWNsaXBzZS5vcmeCC2VjbGlwc2Uu
b3JnMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUH
AwIwdQYDVR0fBG4wbDA0oDKgMIYuaHR0cDovL2NybDMuZGlnaWNlcnQuY29tL3No
YTItaGEtc2VydmVyLWc1LmNybDA0oDKgMIYuaHR0cDovL2NybDQuZGlnaWNlcnQu
Y29tL3NoYTItaGEtc2VydmVyLWc1LmNybDBMBgNVHSAERTBDMDcGCWCGSAGG/WwB
ATAqMCgGCCsGAQUFBwIBFhxodHRwczovL3d3dy5kaWdpY2VydC5jb20vQ1BTMAgG
BmeBDAECAjCBgwYIKwYBBQUHAQEEdzB1MCQGCCsGAQUFBzABhhhodHRwOi8vb2Nz
cC5kaWdpY2VydC5jb20wTQYIKwYBBQUHMAKGQWh0dHA6Ly9jYWNlcnRzLmRpZ2lj
ZXJ0LmNvbS9EaWdpQ2VydFNIQTJIaWdoQXNzdXJhbmNlU2VydmVyQ0EuY3J0MAwG
A1UdEwEB/wQCMAAwggH3BgorBgEEAdZ5AgQCBIIB5wSCAeMB4QB3AKS5CZC0GFgU
h7sTosxncAo8NZgE+RvfuON3zQ7IDdwQAAABWa0p5Z4AAAQDAEgwRgIhAK3wP9Mr
vY3NInHsgTEVLTFsbRyb4SII/IN3k/7zBQdKAiEAuVzrW7DjAcRgTpSBmBeKuS4D
xLZ3XctjMUWBXGe0KpwAdwBWFAaaL9fC7NP14b1Esj7HRna5vJkRXMDvlJhV1onQ
3QAAAVmtKebsAAAEAwBIMEYCIQCj/7M6ErrE/8FhC+RwRv3nqJXYpKX9SO+4S9to
2IuLewIhANWWO1513MvKWrUM/qPFu0VmdtxzixI+txtBOAI7M7gQAHUA7ku9t3XO
YLrhQmkfq+GeZqMPfl+wctiDAMR7iXqo/csAAAFZrSnolwAABAMARjBEAiBS1jJm
hor35Nq2pdlk/8Tv1ROgoEKdjv3NMkPXwlyNSgIgExCMMTqg8R7P/lfeXMYUVs6H
1oO61MaRQKsw3J7pWE8AdgC72d+8H4pxtZOUI5eqkntHOFeVCqtS6BqQlmQ2jh7R
hQAAAVmtKeZZAAAEAwBHMEUCIDBh9E282+1YdpEUtIDYfvzdPf+WiGskLCiXDeL9
BGRRAiEAppRRkUk+9K+wCX1qfjQMUhXCJ/ljcX9tWtp4WX9R3bswDQYJKoZIhvcN
AQELBQADggEBAIDYXOtpWtOi232kg/4bMqhELBqFUwlOVYYpfkRxfBEQtKCpD7x2
VBjGUEu1R3ZQqVTRJxpzUapbw/KfHdMeRc7eDNtySAT91XU156prE8FCFXb54H+/
D9kWV2TsBtgYcJnRi1VjueL9UxKV+0YlzICoYD+Rup7FnWvRwuvH1D7A6IIE3og2
YHCeXBo4OKxHlP5t9dHPggYLNH+CPeNU+mSPaFOI026OTzpjESeyQzp3Rhv/nvoM
FN98A1T6KFWswl9GI4QfFrJkhBmLIviv7XRiRvEWZAZb4rQ9WfxYXnBmD4bVhe6s
1Hy4W4HP+FYcbKAYj2T4Sx619BFDbb5d+AA=
-----END CERTIFICATE-----
subject=C = CA, ST = Ontario, L = Ottawa, O = "Eclipse.org Foundation, Inc.", OU = IT, CN = *.eclipse.org
issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
---
No client certificate CA names sent
Peer signing digest: SHA512
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3796 bytes and written 439 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: AF184F964ED0B9F2C02513CE9BCF384247DE50E66C2E8D4CFC5BA38A5583E6EC
Session-ID-ctx:
Master-Key: A7978D9AEC000270059E8ED339E6A29F5B3B45D1E8E64BE39B4CE4B7A0156782171ED6EA4DCFC9BCB685024BE3DEBC92
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 600 (seconds)
TLS session ticket:
0000 - 16 7c d4 1e 8f ab e7 e9-67 77 9b 97 8a 0c fc 09 .|......gw......
0010 - e0 c5 9a a5 4e 29 9c 6f-98 58 19 f9 6a 99 95 fa ....N).o.X..j...
0020 - 82 88 9e b8 96 4c ed 8c-e5 f8 59 61 b7 09 6b 40 .....L....Ya..k@
0030 - 9c 14 8b c6 91 03 bd ef-45 87 82 34 05 14 02 df ........E..4....
0040 - f7 65 a6 3c fd 24 0c ff-88 27 59 10 23 1d eb b9 .e.<.$...'Y.#...
0050 - 24 3b 54 6c 11 0e 24 14-22 17 23 cc 36 c8 0a 3d $;Tl..$.".#.6..=
0060 - 89 ea 88 52 e6 a0 14 30-ae aa d9 20 91 1e a6 c1 ...R...0... ....
0070 - 3f bb 27 6a cc 24 f6 30-f5 e1 e0 13 4c 1c a9 17 ?.'j.$.0....L...
0080 - 9f a6 20 2d 46 5f 6b 6e-9e 56 9f 6f e0 28 ce 12 .. -F_kn.V.o.(..
0090 - 95 84 15 8b 78 6d ff 28-f8 8e 87 7b 75 af 64 b7 ....xm.(...{u.d.
00a0 - fe f4 6f 28 cc 14 ef ef-54 a2 81 e8 05 f1 bb f3 ..o(....T.......
00b0 - bc 40 c5 9b bf f3 d8 78-37 56 85 c8 25 56 5f f5 .@.....x7V..%V_.
Start Time: 1543178649
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Je ferai peut-être une capture wireshark d'ici quelques jours pour ceux qui y voudraient jeter un oeil.
-
Chez moi, cela fonctionne, j'avais d'ailleurs oublié les www :
~$ curl -v --ciphers ECDHE-ECDSA-AES128-GCM-SHA256 https://www.eclipse.org | more
* Rebuilt URL to: https://www.eclipse.org/
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying 198.41.30.198...
* Connected to www.eclipse.org (198.41.30.198) port 443 (#0)
* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 594 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: *.eclipse.org (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=CA,ST=Ontario,L=Ottawa,O=Eclipse.org Foundation\, Inc.,OU=IT,CN=*.eclipse.org
* start date: Tue, 17 Jan 2017 00:00:00 GMT
* expire date: Mon, 02 Mar 2020 12:00:00 GMT
* issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=DigiCert SHA2 High Assurance Server CA
* compression: NULL
* ALPN, server did not agree to a protocol
> GET / HTTP/1.1
> Host: www.eclipse.org
> User-Agent: curl/7.47.0
> Accept: */*
>
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0< HTTP/1.1 200 OK
< Server: nginx
< Date: Sun, 25 Nov 2018 20:51:05 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Vary: Accept-Encoding
...
-
Hello.
J'ai un problème similaire ici en ce que depuis quelques temps aussi , je n'accède plus à ce domaine sur le port 443.
J'ai le client Hello TLS qui part, le ACK TCP qui revient, puis, silence radio sur la ligne.
-
Kartman m'a fourni des deux captures Wireshark avec le navigateur Firefox 64 bêta. J'ai filtré sur l'IP de Eclipse : 198.41.30.198
Celle où cela se passe mal :
201811_eclipse_ko.pcapng.gz (https://lafibre.info/images/wireshark/201811_eclipse_ko.pcapng.gz)
Il me semble qu'un paquet n'a pas été capturé, mais je n'arrive pas a expliquer pourquoi il ne se passe rien alors que la connexion est ouverte (il y a de nombreux TCP Keep-Alive pour garder la connexion ouverte)
Le site semble classique dans sa configuration : https://tls.imirhil.fr/https/www.eclipse.org (ce n'est pas une configuration qui exclue les vieux navigateurs - Internet Explorer 8 sous Windows XP est accepté, mais elle permet aux navigateurs récents d'utiliser les suites sécurisées classiques). Il obtient bien sur un A+ sur SSL Labs (c'est facile d'avoir un A+ sur SSL Labs)
Celle où tout est ok :
201811_eclipse_ok.pcapng.gz (https://lafibre.info/images/wireshark/201811_eclipse_ok.pcapng.gz)
Toujours pratique pour comparer la connexion TLS.
-
Chez moi ça fonctionne par contre c'est assez long à s'afficher (environ 10 sec)... mais vu le mtr c'est à moitié étonnant.