Description de la tâche
Bonjour,
L’accès à mafreebox.free.fr ou mafreebox.freebox.fr via HTTPS n’est pas rassurant pour l’utilisateur alors que l’utilisation du chiffrement SSL/TLS devrait être obligatoire pour la protection des mots de passe et autres données personnelles/confidentielles échangés entre l’utilisateur et le service.
Le certificat X.509 présenté pour ces sites n’est pas signé par une autorité de confiance (reconnue).
Firefox m’affiche ce message:
Attention : risque probable de sécurité
Firefox a détecté une menace de sécurité potentielle et n’a pas poursuivi vers mafreebox.free.fr. Si vous accédez à ce site, des attaquants pourraient dérober des informations comme vos mots de passe, courriels, ou données de carte bancaire.
et:
Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour mafreebox.free.fr. Le certificat est seulement valide pour les noms suivants : n30nr1tf.fbxos.fr, mafreebox.freebox.fr, mafreebox6.freebox.fr Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER
mais aussi:
Impossible de vérifier ce certificat car l'émetteur est inconnu.
Pour information, le certificat présenté est le suivant (format PEM):
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Ce qui est traduit par OpenSSL:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1158319498905454311 (0x10132d727cab06e7)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
Validity
Not Before: Mar 30 08:32:21 2019 GMT
Not After : Jun 28 08:37:21 2019 GMT
Subject: C = FR, CN = n30nr1tf.fbxos.fr
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:a6:0b:b7:6d:1d:f7:e0:3c:38:4b:44:92:32:32:
9a:a9:ff:74:b8:0e:67:9f:1e:88:e7:d0:ef:33:be:
4b:9a:e7:a3:0a:f4:13:84:0b:68:0c:b0:5a:96:2f:
09:9f:ff:4d:cd:e1:38:d9:be:5a:f0:75:5a:f6:17:
aa:6d:ad:7c:13
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:n30nr1tf.fbxos.fr, DNS:mafreebox.freebox.fr, DNS:mafreebox6.freebox.fr
Signature Algorithm: ecdsa-with-SHA256
30:64:02:30:5b:e4:5c:16:19:cd:96:44:61:bb:c5:ce:99:93:
82:e0:0b:77:9f:9a:af:f5:63:88:5a:04:11:34:95:76:e9:1c:
f3:78:55:96:67:17:a4:6a:5c:a1:7a:e4:a7:80:19:52:02:30:
4e:cf:04:af:48:1e:10:ae:09:65:6f:49:6c:c4:cf:1b:56:7b:
0f:35:34:42:ba:39:8e:4f:22:3b:4b:15:c6:0c:d8:3a:3a:f8:
89:dc:cd:76:3f:68:f5:bb:c4:0d:f8:b8
On peut constater que le certificat est récent, en cours de validité et bien applicable aux adresses concernées.
Mais l’autorité de certification, Freebox SA, Freebox ECC Intermediate CA, n’est pas reconnue:
$ openssl verify n30nr1tffbxosfr.pem
C = FR, CN = n30nr1tf.fbxos.fr
error 20 at 0 depth lookup: unable to get local issuer certificate
error n30nr1tffbxosfr.pem: verification failed
Il s’agit peut être d’un défaut de configuration du serveur HTTPS: peut-être devrait-il présenter le ou les certificats intermédiaires qui permettrait de vérifier la chaîne de certification (du certificat n30nr1tf.fbxos.fr jusqu’à un certificat racine reconnu de confiance) ?
|