Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie Freebox OS → Interface Web
  • Assignée à Personne
  • Système d'exploitation Freebox Server V7 (Delta)
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version 4.7.2
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 7
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par noiwid - 30/11/2022
Dernière modification par mmakassikis - 06/01/2023

FS#37429 - Mise à jour 4.7.2 : Accès à Freebox OS impossible en HTTPS

Bonjour,

J’ai du rebooter ma freebox aujourd’hui suite à un plantage du disque-dur, ce qui a mis à jour l’OS avec la version 4.7.2.
Depuis, impossible d’accéder à la box via mon nom de domaine personnalisé. Via l’accès HTTPS je tombe sur ce message :

* depuis FIREFOX *

Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à sun.mondomaine.com:1234. Impossible de communiquer en mode sécurisé avec le pair : aucun algorithme de chiffrement en commun.
Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP

* depuis CHROME *

Ce site ne peut pas fournir de connexion sécurisée
sun.mondomaine.com utilise un protocole incompatible
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Si j’essaie d’accéder à l’URL du domaine sur le port HTTP non sécurisé, la freebox me renvoie ce message:

unknown host, use ip address or mafreebox.freebox.fr

J’ai déjà tenté :
De supprimer, réajouter mon nom de domaine dans l’interface de la freebox, avec son certificat
→ l’ajout s’est fait sans problème, j’ai redémarré la freebox, le problème est toujours le même

De réinstaller la freebox à partir de mon dernier backup de la configuration de l’OS → le rechargement de la config laisse la box en version 4.7.2, et le problème reste le même :(

De rajouter un sous domaine xxx.freeboxos.fr
→ Cela à fonctionné, la box était accessible via ce sous domaine sans erreur

Quelques précisions, mon certificat SSL est un certificat wildcard pour un domaine, fourni par DigiCert, et est valide.
Je l’utilise également sur une autre freebox toujours sur la v4.7.1, aucun souci à date.
J’en conclus que c’est la mise à jour qui pose un souci, des idées ?

EDIT du 1er décembre :
Aujourd’hui, ma seconde Freebox (domicile) a planté, et a donc redémarré et migré automatiquement vers la 4.7.2.
Elle a désormais exactement le même problème que la freebox à mon bureau :(
Cela aiguille clairement vers un problème lié à l’update…

Fermée par  mmakassikis
06.01.2023 14:13
Raison de la fermeture :  Résolu
Commentaires de fermeture :  

firmware 4.7.3

PhL a commenté le 01.12.2022 16:28

Bonjour,
Même problème pour moi depuis la version 4.7.2 et plus précisément:
- http://192.168.1.254 (@ local de ma freebox): OK
- https://192.168.1.254: KO - Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP

De plus, je ne sais pas si c'est lié mais à partir de mon téléphone Android et avec les applications Free, je n'arrive plus à me connecter à ma freebox:
- Pour l'ancienne application "Freebox", j'ai le message "Handshake failed"
- Pour les nouvelles (Freebox files, Freebox Connect), j'ai le message:
Connexion impossible
Vous êtes hors connexion

noiwid a commenté le 01.12.2022 16:48

Bonjour,
Pour l'accès via le navigateur, cela pourrait effectivement être le même problème de gestion des certificats, bien qu'à ma connaissance, le certificat fourni par défaut sur la Freebox est émis pour ces domaines :
- xxxx.fbxos.fr (xxx étant attribué aléatoirement à chaque client)
- mafreebox.free.fr
- mafreebox6.free.fr (ce dernier bien que présent dans le certif ne semble pas utilisé par la box).

En revanche, sauf si tu as changé cette configuartino, il me semble que l'APP Freebox se connecte par défaut via les noms de domaine fbxos.fr.

Depuis l'app Android, en cliquant sur le menu hamburger en haut à gauche, puis tout en haut du menu sur le nom de ta freebox, tu devrais arriver sur l'écran FREEBOX ASSOCIÉES (permettant si tu en as plusieurs de basculer d'une freebox à une autre), depuis cet écran tu peux voir l'adresse IP et le port qu'utilise l'APP pour se connecter.

L'app étant faite pour fonctionner hors de chez soi, il y a peu de chances qu'elle se connecte via l'IP locale 192.168.1.xx.

Rico a commenté le 01.12.2022 21:20

J'ai le meme soucis sans rien changé
A priori depuis la 4.7.2
Et c'est très penalisant car freebox home ne fonctionne plus (alarme) et aussi freebox connect !!
HELP

noiwid a commenté le 01.12.2022 22:59

Hello @Rico, ton app Freebox (alarme) se connecte via quelle adresse? voir mon précédent post pour le chemin permettant de le trouver. C'est par un domaine custom?

Jacobene a commenté le 01.12.2022 23:52

Rien à dire de plus.
Exactement le même souci.

Rico a commenté le 02.12.2022 08:33

@noiwid : par une adresse en xxxx.fbxos.fr
Ca marchait avant, ca ne marche plus, je ne suis pas le seul
Donc ça commence a être evident que c'est une modification coté firmware !!

je ne sais pas si les personnes de free suivre acidument ce forum mais c'est très impactant, je ne peux plus aussi facilement mettre mon alarme, je ne peux plus regarder la camera quand je suis absent (gros risque)

Tout pareil, avec un certificat personnalisé et associé â un domaine spécifique, ou avec un certificat let's encrypt généré par la box elle même.
Et l'application Android ne se connecte plus non plus, avec une erreur de connexion à une URL inconnue b2idgmat.fbxos/monip:port

THEMIO a commenté le 02.12.2022 18:43

Bonjour,

Même soucis depuis un nom de domaine hors freebox (domaine n'appartenant pas à fbxos.fr) j'ai essayé sur un réseau extérieur, même soucis, sur le réseau de ma freebox, j'ai plus d'informations:

This site can’t provide a secure connection

xxxx.xxxxxxxx.de uses an unsupported protocol.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Et ce, depuis la version 4.7.2

VVR a commenté le 03.12.2022 10:20

Même chose : impossible d'accéder en mode sécurisé a freeboxos. aucune fonction sécurisée (dnss, vpn) ne marche. L'absence de chiffrement est un incident grave

Lors du reboot en version 4.7.2. l'heure de la Freebox a redémarré au 01/01/2022 a 00h00 dans se caler sur un serveur de temps.
Sans synchronisation de temps il n'est pas possible d'utiliser des certificats openssl.

Ci dessous le test de vérification de l'absence de synchro de temps

sudo ntpdate -dv mafreebox.freebox.fr
Looking for host mafreebox.freebox.fr and service ntp
XXX.XX.XX.XXX reversed to freeplayer.freebox.fr
host found : freeplayer.freebox.fr
… reference time: (no time)
originate timestamp: e57af4a8.e920afff Sat, Jan 1 2022 16:41:28.910
transmit timestamp: e7359faf.c2ce2041 Sat, Dec 3 2022 11:13:03.760
3 Dec 11:13:03 ntpdate[456099]: no server suitable for synchronization found


Bien sur la même heure de 16h41 est affichée sur le box Delta

avb a commenté le 03.12.2022 14:03

Hello,
Exactement le même problème de mon coté depuis cette mise à jour. La Synchro NTP ne s'est pas faite au redémarrage (et ne se fait plus du tout), la box affiche 00:00 en redémarrant et impossible d'utiliser toute connexion depuis les App pour les raisons citées au dessus.

vnp35 a commenté le 03.12.2022 17:33

Bonjour.
Exactement le même problème de mon coté depuis cette mise à jour sur la freebox pop.
Le certificat que j'utilise pour mon nom de domaine personnalisé n'est pas utilisé.

VVR a commenté le 04.12.2022 10:12

Quelque chose a du être réparé coté serveur de temps Free.
Tout est en ordre. Merci.

noiwid a commenté le 04.12.2022 11:41

Bonjour @VVR,
Ce n'est toujours pas le cas chez moi.

Je viens de tenter de réinstaller pour une énième fois mon certificat SSL sur la freebox, côté Freebox OS, l'ajout du certificat s'est déroulé normalement, en revanche côté navigateur la validation ne passe toujours pas.

J'ai également tenté de remettre un domaine @freeboxos.fr, et par ce biais la validation passe. Le problème de certificats personnalisés semble donc toujours d'actualité.

avb a commenté le 04.12.2022 15:43

Problème résolu de mon coté également.

noiwid a commenté le 05.12.2022 09:29

Bonjour @avgb & @VVR,
Utilisez vous des domaines personnalisés, où il s'agit de sous domaines freeboxos.fr/fbxos.fr ?

bmfp a commenté le 06.12.2022 08:28

bonjour,
incident toujours en cours : la négociation tls ne se fait pas lors de l'utilisation d'un nom de domaine/certificat personnalisé (pas de server hello), seul tls1.3 est disponible alors qu'on a 1.0→1.3 sans ndd/certificat custom.

noiwid a commenté le 06.12.2022 09:52

Priorité du ticket : très basse

:cry:

Len59 a commenté le 06.12.2022 11:54

Bonjour,

Je souffre exactement du même problème :
J’utilise un nom de domaine personnalisé et j’upload mes propres certificats Let’s Encrypt pour ce nom de domaine.
Je fais ça régulièrement pour mettre mon certificat à jour et la dernière mise à jour s’est déroulée normalement.

Néanmoins, le serveur https de l’interface web est inutilisable.
"Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP" dans Firefox et aucune des applications officielle Free (Connect, Home…) ne fonctionne plus.

Le problème vient très clairement de la configuration du serveur https de l’interface web. Celui-ci ne présente pas le certificat Let’s Encrypt que j’ai configuré mais un certificat "mesh-vpn-server-XXX" émis par "Freebox SAS":

$ openssl s_client -connect MON_DOMAINE:PORT_INTERFACE_WEB
CONNECTED(00000003)
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
verify return:1
— Certificate chain
0 s:C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX

 i:C = FR, O = Freebox SAS, CN = mesh-vpn-server-root
 a:PKEY: ED25519, 256 (bit); sigalg: ED25519
 v:NotBefore: Aug  4 18:32:34 2020 GMT; NotAfter: Jan 19 03:14:06 2038 GMT

— Server certificate
—–BEGIN CERTIFICATE—– MII[…]==
—–END CERTIFICATE—– subject=C = FR, O = Freebox SAS, CN = mesh-vpn-server-70FCXXXXXXXX
issuer=C = FR, O = Freebox SAS, CN = mesh-vpn-server-root

Non seulement le certificat exposé par le serveur n’est pas le bon, mais il semblerait que le service targeté ne soit même pas le bon.
En effet, quand je fais un "GET / HTTP/1.1" à la main, j’obtiens une erreur 400 comme quoi je n’ai pas fourni de certificat SSL client au lieu d’obtenir la page de l’interface web.

@Devs de Free: il semblerait que le port de l’interface web target maintenant un service de "mesh-vpn" au lieu de l’interface web.

J’ai effectivement configuré un service VPN sur ma Freebox, mais je n’ai activé que Wireguard qui n’est pas basé sur HTTP over SSL donc je ne pense pas, à priori, que ça joue un rôle dans le bug.

nbanba a commenté le 07.12.2022 17:54

Bonjour

Merci à tous pour vos messages, vous m'avez évités beaucoup de soucis …

(j'utilise beaucoup l'API sur un domaine public avec des certificats émit par ma propre PKI et les clients ne présentent dans le handshake qu'une liste de ciphers très restreinte et validée par l'ANSSI)

Je branche un 2è onduleur et je ne reboot pas !

Bon courage à tous !

Cordialement
nbanba

baudav a commenté le 10.12.2022 21:15

+1.. inadmissible de voir que cette mise à jour soit encore publié!
crash freebox ce soir.. et mis à jour vers cette version.. plus d'accès freebox OS sécurisé.

THEMIO a commenté le 16.12.2022 17:26

Résolu depuis la 4.7.3 du 15 décembre 2022 ✅

nbanba a commenté le 17.12.2022 07:15

Bonjour

Confirmez vous qu'on peut reboot sur le firmware 4.7.3 publié le 2022-12-15 sans craindre de perdre le contrôle de la box en HTTPS depuis l'accès externe sur un domaine publique?

@free : De nombreuses CVE ont étés découvertes affectant massivement les équipements informatiques cette année (une des plus connue date de septembre 2022: CVE exploitant la faille de log4shell / log4j utilisant CVE-2021-44832)
Pourriez vous communiquer sur les CVE que vous patchez dans chaque version de FreeboxOS afin que l'on sache si on peut se passer temporairement de mettre à jour la box quand un BUG de ce type est remonté ?

A minima l'utilisateur devrait pouvoir choisir (en connaissance de cause) de mettre à jour ou non la box même quand des bugs majeurs en bloquent l'accès https (donc l'API…)

Merci (je pense que c'est important)

Cordialement
nbanba

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche