- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Freebox OS → Interface Web
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Haute
- Priorité Très Basse
- Basée sur la version 4.7.2
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes 7
- Privée
Ouverte par noiwid - 30/11/2022
Dernière modification par mmakassikis - 06/01/2023
FS#37429 - Mise à jour 4.7.2 : Accès à Freebox OS impossible en HTTPS
Bonjour,
J’ai du rebooter ma freebox aujourd’hui suite à un plantage du disque-dur, ce qui a mis à jour l’OS avec la version 4.7.2.
Depuis, impossible d’accéder à la box via mon nom de domaine personnalisé. Via l’accès HTTPS je tombe sur ce message :
* depuis FIREFOX *
Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à sun.mondomaine.com:1234. Impossible de communiquer en mode sécurisé avec le pair : aucun algorithme de chiffrement en commun. Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP
* depuis CHROME *
Ce site ne peut pas fournir de connexion sécurisée sun.mondomaine.com utilise un protocole incompatible ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Si j’essaie d’accéder à l’URL du domaine sur le port HTTP non sécurisé, la freebox me renvoie ce message:
unknown host, use ip address or mafreebox.freebox.fr
J’ai déjà tenté :
De supprimer, réajouter mon nom de domaine dans l’interface de la freebox, avec son certificat
→ l’ajout s’est fait sans problème, j’ai redémarré la freebox, le problème est toujours le même
De réinstaller la freebox à partir de mon dernier backup de la configuration de l’OS → le rechargement de la config laisse la box en version 4.7.2, et le problème reste le même :(
De rajouter un sous domaine xxx.freeboxos.fr
→ Cela à fonctionné, la box était accessible via ce sous domaine sans erreur
Quelques précisions, mon certificat SSL est un certificat wildcard pour un domaine, fourni par DigiCert, et est valide.
Je l’utilise également sur une autre freebox toujours sur la v4.7.1, aucun souci à date.
J’en conclus que c’est la mise à jour qui pose un souci, des idées ?
EDIT du 1er décembre :
Aujourd’hui, ma seconde Freebox (domicile) a planté, et a donc redémarré et migré automatiquement vers la 4.7.2.
Elle a désormais exactement le même problème que la freebox à mon bureau :(
Cela aiguille clairement vers un problème lié à l’update…
06.01.2023 14:13
Raison de la fermeture : Résolu
Commentaires de fermeture :
firmware 4.7.3
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour,
Même problème pour moi depuis la version 4.7.2 et plus précisément:
- http://192.168.1.254 (@ local de ma freebox): OK
- https://192.168.1.254: KO - Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP
De plus, je ne sais pas si c'est lié mais à partir de mon téléphone Android et avec les applications Free, je n'arrive plus à me connecter à ma freebox:
- Pour l'ancienne application "Freebox", j'ai le message "Handshake failed"
- Pour les nouvelles (Freebox files, Freebox Connect), j'ai le message:
Connexion impossible
Vous êtes hors connexion
Bonjour,
Pour l'accès via le navigateur, cela pourrait effectivement être le même problème de gestion des certificats, bien qu'à ma connaissance, le certificat fourni par défaut sur la Freebox est émis pour ces domaines :
- xxxx.fbxos.fr (xxx étant attribué aléatoirement à chaque client)
- mafreebox.free.fr
- mafreebox6.free.fr (ce dernier bien que présent dans le certif ne semble pas utilisé par la box).
En revanche, sauf si tu as changé cette configuartino, il me semble que l'APP Freebox se connecte par défaut via les noms de domaine fbxos.fr.
Depuis l'app Android, en cliquant sur le menu hamburger en haut à gauche, puis tout en haut du menu sur le nom de ta freebox, tu devrais arriver sur l'écran FREEBOX ASSOCIÉES (permettant si tu en as plusieurs de basculer d'une freebox à une autre), depuis cet écran tu peux voir l'adresse IP et le port qu'utilise l'APP pour se connecter.
L'app étant faite pour fonctionner hors de chez soi, il y a peu de chances qu'elle se connecte via l'IP locale 192.168.1.xx.
J'ai le meme soucis sans rien changé
A priori depuis la 4.7.2
Et c'est très penalisant car freebox home ne fonctionne plus (alarme) et aussi freebox connect !!
HELP
Hello @Rico, ton app Freebox (alarme) se connecte via quelle adresse? voir mon précédent post pour le chemin permettant de le trouver. C'est par un domaine custom?
Rien à dire de plus.
Exactement le même souci.
@noiwid : par une adresse en xxxx.fbxos.fr
Ca marchait avant, ca ne marche plus, je ne suis pas le seul
Donc ça commence a être evident que c'est une modification coté firmware !!
je ne sais pas si les personnes de free suivre acidument ce forum mais c'est très impactant, je ne peux plus aussi facilement mettre mon alarme, je ne peux plus regarder la camera quand je suis absent (gros risque)
Tout pareil, avec un certificat personnalisé et associé â un domaine spécifique, ou avec un certificat let's encrypt généré par la box elle même.
Et l'application Android ne se connecte plus non plus, avec une erreur de connexion à une URL inconnue b2idgmat.fbxos/monip:port
Bonjour,
Même soucis depuis un nom de domaine hors freebox (domaine n'appartenant pas à fbxos.fr) j'ai essayé sur un réseau extérieur, même soucis, sur le réseau de ma freebox, j'ai plus d'informations:
Et ce, depuis la version 4.7.2
Même chose : impossible d'accéder en mode sécurisé a freeboxos. aucune fonction sécurisée (dnss, vpn) ne marche. L'absence de chiffrement est un incident grave
Lors du reboot en version 4.7.2. l'heure de la Freebox a redémarré au 01/01/2022 a 00h00 dans se caler sur un serveur de temps.
Sans synchronisation de temps il n'est pas possible d'utiliser des certificats openssl.
Ci dessous le test de vérification de l'absence de synchro de temps
sudo ntpdate -dv mafreebox.freebox.fr
Looking for host mafreebox.freebox.fr and service ntp
XXX.XX.XX.XXX reversed to freeplayer.freebox.fr
host found : freeplayer.freebox.fr
… reference time: (no time)
originate timestamp: e57af4a8.e920afff Sat, Jan 1 2022 16:41:28.910
transmit timestamp: e7359faf.c2ce2041 Sat, Dec 3 2022 11:13:03.760
3 Dec 11:13:03 ntpdate[456099]: no server suitable for synchronization found
Bien sur la même heure de 16h41 est affichée sur le box Delta
Hello,
Exactement le même problème de mon coté depuis cette mise à jour. La Synchro NTP ne s'est pas faite au redémarrage (et ne se fait plus du tout), la box affiche 00:00 en redémarrant et impossible d'utiliser toute connexion depuis les App pour les raisons citées au dessus.
Bonjour.
Exactement le même problème de mon coté depuis cette mise à jour sur la freebox pop.
Le certificat que j'utilise pour mon nom de domaine personnalisé n'est pas utilisé.
Quelque chose a du être réparé coté serveur de temps Free.
Tout est en ordre. Merci.
Bonjour @VVR,
Ce n'est toujours pas le cas chez moi.
Je viens de tenter de réinstaller pour une énième fois mon certificat SSL sur la freebox, côté Freebox OS, l'ajout du certificat s'est déroulé normalement, en revanche côté navigateur la validation ne passe toujours pas.
J'ai également tenté de remettre un domaine @freeboxos.fr, et par ce biais la validation passe. Le problème de certificats personnalisés semble donc toujours d'actualité.
Problème résolu de mon coté également.
Bonjour @avgb & @VVR,
Utilisez vous des domaines personnalisés, où il s'agit de sous domaines freeboxos.fr/fbxos.fr ?
@ all : Cela me rappelle ces bugs là :
- https://dev.freebox.fr/bugs/task/31711
- https://dev.freebox.fr/bugs/task/32105
- https://dev.freebox.fr/bugs/task/32172
- https://dev.freebox.fr/bugs/task/30918
- https://dev.freebox.fr/bugs/task/30919
cc: @mbizon.
bonjour,
incident toujours en cours : la négociation tls ne se fait pas lors de l'utilisation d'un nom de domaine/certificat personnalisé (pas de server hello), seul tls1.3 est disponible alors qu'on a 1.0→1.3 sans ndd/certificat custom.
Priorité du ticket : très basse
:cry:
Bonjour,
Je souffre exactement du même problème :
J’utilise un nom de domaine personnalisé et j’upload mes propres certificats Let’s Encrypt pour ce nom de domaine.
Je fais ça régulièrement pour mettre mon certificat à jour et la dernière mise à jour s’est déroulée normalement.
Néanmoins, le serveur https de l’interface web est inutilisable.
"Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP" dans Firefox et aucune des applications officielle Free (Connect, Home…) ne fonctionne plus.
Le problème vient très clairement de la configuration du serveur https de l’interface web. Celui-ci ne présente pas le certificat Let’s Encrypt que j’ai configuré mais un certificat "mesh-vpn-server-XXX" émis par "Freebox SAS":
$ openssl s_client -connect MON_DOMAINE:PORT_INTERFACE_WEB
CONNECTED(00000003)
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify return:1
— Certificate chain
0 s:C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
— Server certificate
—–BEGIN CERTIFICATE—– MII[…]==
—–END CERTIFICATE—– subject=C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
issuer=C = FR, O = Freebox SAS, CN = mesh-vpn-server-root
Non seulement le certificat exposé par le serveur n’est pas le bon, mais il semblerait que le service targeté ne soit même pas le bon.
En effet, quand je fais un "GET / HTTP/1.1" à la main, j’obtiens une erreur 400 comme quoi je n’ai pas fourni de certificat SSL client au lieu d’obtenir la page de l’interface web.
@Devs de Free: il semblerait que le port de l’interface web target maintenant un service de "mesh-vpn" au lieu de l’interface web.
J’ai effectivement configuré un service VPN sur ma Freebox, mais je n’ai activé que Wireguard qui n’est pas basé sur HTTP over SSL donc je ne pense pas, à priori, que ça joue un rôle dans le bug.
Bonjour
Merci à tous pour vos messages, vous m'avez évités beaucoup de soucis …
(j'utilise beaucoup l'API sur un domaine public avec des certificats émit par ma propre PKI et les clients ne présentent dans le handshake qu'une liste de ciphers très restreinte et validée par l'ANSSI)
Je branche un 2è onduleur et je ne reboot pas !
Bon courage à tous !
Cordialement
nbanba
+1.. inadmissible de voir que cette mise à jour soit encore publié!
crash freebox ce soir.. et mis à jour vers cette version.. plus d'accès freebox OS sécurisé.
Résolu depuis la 4.7.3 du 15 décembre 2022 ✅
Bonjour
Confirmez vous qu'on peut reboot sur le firmware 4.7.3 publié le 2022-12-15 sans craindre de perdre le contrôle de la box en HTTPS depuis l'accès externe sur un domaine publique?
@free : De nombreuses CVE ont étés découvertes affectant massivement les équipements informatiques cette année (une des plus connue date de septembre 2022: CVE exploitant la faille de log4shell / log4j utilisant CVE-2021-44832)
Pourriez vous communiquer sur les CVE que vous patchez dans chaque version de FreeboxOS afin que l'on sache si on peut se passer temporairement de mettre à jour la box quand un BUG de ce type est remonté ?
A minima l'utilisateur devrait pouvoir choisir (en connaissance de cause) de mettre à jour ou non la box même quand des bugs majeurs en bloquent l'accès https (donc l'API…)
Merci (je pense que c'est important)
Cordialement
nbanba