- État Close
- Type de tâche Anomalie
- Catégorie Freebox OS → API
-
Assignée à
Romain FLIEDEL (rfliedel)
- Système d'exploitation Tous
- Sévérité Basse
- Priorité Normale
- Basée sur la version 3.3.5
- Due pour la version Non décidé
- Date d'échéance Non décidé
- Votes 0
- Privée Non
Ouverte par lool (lool) - 02/01/2017
Dernière édition par Romain FLIEDEL (rfliedel) - 28/03/2017
FS#21036 - api_domain ne renvoie pas le domaine correspondant au certificat
Bonjour,
Pour parler à une Freebox Server, il faut a priori commencer par les découvrir localement puis s’y connecter en http/https.
La réponse aux requêtes de découverte encourage à utiliser le https si disponible, sur ma freebox j’obtiens le port https :
% http http://freebox-server.local/api_version
[...]
"api_domain": "xyz.fbxos.fr",
[...]
"https_available": true, "https_port": 29040,
% dns-sd -L "Freebox Server" _fbx-api._tcp local. 22:14:57.454 Freebox\032Server._fbx-api._tcp.local. can be reached at Freebox-Server.local.:80 api_version=3.0 device_type=FreeboxServer1,1 api_base_url=/api/ uid=xyz https_available=1 https_port=29040 api_domain=xyz.fbxos.fr
Cependant le domaine renvoyé dans les réponses est le domaine https créé par défaut. Sur cette freebox, j’ai configuré un domaine Let’s Encrypt personnalisé (en abc.freeboxos.fr), et du coup c’est ce certificat qui m’est renvoyé sur le port 29040.
Conséquence : les requêtes https vers xyz.fbxox.fr échouent avec des clients qui vérifient le CN du certificat.
Il faudrait donc renvoyer le premier domaine perso valide dans les requêtes de découverte de l’adresse de l’API, ou bien conserver le certificat en xyz.fbxos.fr comme certificat alternatif (via SNI).
PS : peut-être la documentation sur http://dev.freebox.fr/sdk/os/ pourrait-elle refléter les variables api_domain, https_available et https_port ?
Bien à vous,
- Loïc Minier
mardi 28 mars, 2017 12:56:58
Raison de clôture : Résolu
Commentaires supplémentaires de clôture : En 3.4.0
lundi 13 février, 2017 12:32:02
Bonjour,
une mise à jour de la documentation est en cours.
Pour les applications qui utilisent l'api freeboxos il convient d'utiliser api_domain et de vérifier qu'il a été émis par "Freebox ECC Root CA" ou par "Freebox Root CA" en ajoutant les roots ca suivants:
-----BEGIN CERTIFICATE----- MIICWTCCAd+gAwIBAgIJAMaRcLnIgyukMAoGCCqGSM49BAMCMGExCzAJBgNVBAYT AkZSMQ8wDQYDVQQIDAZGcmFuY2UxDjAMBgNVBAcMBVBhcmlzMRMwEQYDVQQKDApG cmVlYm94IFNBMRwwGgYDVQQDDBNGcmVlYm94IEVDQyBSb290IENBMB4XDTE1MDkw MTE4MDIwN1oXDTM1MDgyNzE4MDIwN1owYTELMAkGA1UEBhMCRlIxDzANBgNVBAgM BkZyYW5jZTEOMAwGA1UEBwwFUGFyaXMxEzARBgNVBAoMCkZyZWVib3ggU0ExHDAa BgNVBAMME0ZyZWVib3ggRUNDIFJvb3QgQ0EwdjAQBgcqhkjOPQIBBgUrgQQAIgNi AASCjD6ZKn5ko6cU5Vxh8GA1KqRi6p2GQzndxHtuUmwY8RvBbhZ0GIL7bQ4f08ae JOv0ycWjEW0fyOnAw6AYdsN6y1eNvH2DVfoXQyGoCSvXQNAUxla+sJuLGICRYiZz mnijYzBhMB0GA1UdDgQWBBTIB3c2GlbV6EIh2ErEMJvFxMz/QTAfBgNVHSMEGDAW gBTIB3c2GlbV6EIh2ErEMJvFxMz/QTAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB /wQEAwIBhjAKBggqhkjOPQQDAgNoADBlAjA8tzEMRVX8vrFuOGDhvZr7OSJjbBr8 gl2I70LeVNGEXZsAThUkqj5Rg9bV8xw3aSMCMQCDjB5CgsLH8EdZmiksdBRRKM2r vxo6c0dSSNrr7dDN+m2/dRvgoIpGL2GauOGqDFY= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFmjCCA4KgAwIBAgIJAKLyz15lYOrYMA0GCSqGSIb3DQEBCwUAMFoxCzAJBgNV BAYTAkZSMQ8wDQYDVQQIDAZGcmFuY2UxDjAMBgNVBAcMBVBhcmlzMRAwDgYDVQQK DAdGcmVlYm94MRgwFgYDVQQDDA9GcmVlYm94IFJvb3QgQ0EwHhcNMTUwNzMwMTUw OTIwWhcNMzUwNzI1MTUwOTIwWjBaMQswCQYDVQQGEwJGUjEPMA0GA1UECAwGRnJh bmNlMQ4wDAYDVQQHDAVQYXJpczEQMA4GA1UECgwHRnJlZWJveDEYMBYGA1UEAwwP RnJlZWJveCBSb290IENBMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA xqYIvq8538SH6BJ99jDlOPoyDBrlwKEp879oYplicTC2/p0X66R/ft0en1uSQadC sL/JTyfgyJAgI1Dq2Y5EYVT/7G6GBtVH6Bxa713mM+I/v0JlTGFalgMqamMuIRDQ tdyvqEIs8DcfGB/1l2A8UhKOFbHQsMcigxOe9ZodMhtVNn0mUyG+9Zgu1e/YMhsS iG4Kqap6TGtk80yruS1mMWVSgLOq9F5BGD4rlNlWLo0C3R10mFCpqvsFU+g4kYoA dTxaIpi1pgng3CGLE0FXgwstJz8RBaZObYEslEYKDzmer5zrU1pVHiwkjsgwbnuy WtM1Xry3Jxc7N/i1rxFmN/4l/Tcb1F7x4yVZmrzbQVptKSmyTEvPvpzqzdxVWuYi qIFSe/njl8dX9v5hjbMo4CeLuXIRE4nSq2A7GBm4j9Zb6/l2WIBpnCKtwUVlroKw NBgB6zHg5WI9nWGuy3ozpP4zyxqXhaTgrQcDDIG/SQS1GOXKGdkCcSa+VkJ0jTf5 od7PxBn9/TuN0yYdgQK3YDjD9F9+CLp8QZK1bnPdVGywPfL1iztngF9J6JohTyL/ VMvpWfS/X6R4Y3p8/eSio4BNuPvm9r0xp6IMpW92V8SYL0N6TQQxzZYgkLV7TbQI Hw6v64yMbbF0YS9VjS0sFpZcFERVQiodRu7nYNC1jy8CAwEAAaNjMGEwHQYDVR0O BBYEFD2erMkECujilR0BuER09FdsYIebMB8GA1UdIwQYMBaAFD2erMkECujilR0B uER09FdsYIebMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgGGMA0GCSqG SIb3DQEBCwUAA4ICAQAZ2Nx8mWIWckNY8X2t/ymmCbcKxGw8Hn3BfTDcUWQ7GLRf MGzTqxGSLBQ5tENaclbtTpNrqPv2k6LY0VjfrKoTSS8JfXkm6+FUtyXpsGK8MrLL hZ/YdADTfbbWOjjD0VaPUoglvo2N4n7rOuRxVYIij11fL/wl3OUZ7GHLgL3qXSz0 +RGW+1oZo8HQ7pb6RwLfv42Gf+2gyNBckM7VVh9R19UkLCsHFqhFBbUmqwJgNA2/ 3twgV6Y26qlyHXXODUfV3arLCwFoNB+IIrde1E/JoOry9oKvF8DZTo/Qm6o2KsdZ dxs/YcIUsCvKX8WCKtH6la/kFCUcXIb8f1u+Y4pjj3PBmKI/1+Rs9GqB0kt1otyx Q6bqxqBSgsrkuhCfRxwjbfBgmXjIZ/a4muY5uMI0gbl9zbMFEJHDojhH6TUB5qd0 JJlI61gldaT5Ci1aLbvVcJtdeGhElf7pOE9JrXINpP3NOJJaUSueAvxyj/WWoo0v 4KO7njox8F6jCHALNDLdTsX0FTGmUZ/s/QfJry3VNwyjCyWDy1ra4KWoqt6U7SzM d5jENIZChM8TnDXJzqc+mu00cI3icn9bV9flYCXLTIsprB21wVSMh0XeBGylKxeB S27oDfFq04XSox7JM9HdTt2hLK96x1T7FpFrBTnALzb7vHv9MhXqAT90fPR/8A== -----END CERTIFICATE-----L'avantage c'est que l'accès https avec ce type de domaine et de certificat est configuré automatiquement sans intervention de l'utilisateur pour toutes les freebox