Freebox Server

  • État Close
  • Type de tâche Anomalie
  • Catégorie Freebox OS → API
  • Assignée à Romain FLIEDEL (rfliedel)
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 3.3.5
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server
Ouverte par lool (lool) - 02/01/2017
Dernière édition par Romain FLIEDEL (rfliedel) - 28/03/2017

FS#21036 - api_domain ne renvoie pas le domaine correspondant au certificat

Bonjour,

Pour parler à une Freebox Server, il faut a priori commencer par les découvrir localement puis s’y connecter en http/https.

La réponse aux requêtes de découverte encourage à utiliser le https si disponible, sur ma freebox j’obtiens le port https :

  % http http://freebox-server.local/api_version

[...]

  "api_domain": "xyz.fbxos.fr", 

[...]

  "https_available": true, 
  "https_port": 29040, 
  % dns-sd -L "Freebox Server" _fbx-api._tcp local.
  22:14:57.454  Freebox\032Server._fbx-api._tcp.local. can be reached at Freebox-Server.local.:80
  api_version=3.0 device_type=FreeboxServer1,1 api_base_url=/api/ uid=xyz https_available=1 https_port=29040 api_domain=xyz.fbxos.fr

Cependant le domaine renvoyé dans les réponses est le domaine https créé par défaut. Sur cette freebox, j’ai configuré un domaine Let’s Encrypt personnalisé (en abc.freeboxos.fr), et du coup c’est ce certificat qui m’est renvoyé sur le port 29040.

Conséquence : les requêtes https vers xyz.fbxox.fr échouent avec des clients qui vérifient le CN du certificat.

Il faudrait donc renvoyer le premier domaine perso valide dans les requêtes de découverte de l’adresse de l’API, ou bien conserver le certificat en xyz.fbxos.fr comme certificat alternatif (via SNI).

PS : peut-être la documentation sur http://dev.freebox.fr/sdk/os/ pourrait-elle refléter les variables api_domain, https_available et https_port ?

Bien à vous,
- Loïc Minier

Close par  Romain FLIEDEL (rfliedel)
Tuesday 28 March, 2017 12:56:58
Raison de clôture :  Résolu
Commentaires supplémentaires de clôture :  En 3.4.0

Cette tache ne dépend pas d'autre tache

Romain FLIEDEL (rfliedel)
Monday 13 February, 2017 12:32:02

Bonjour,

une mise à jour de la documentation est en cours.
Pour les applications qui utilisent l'api freeboxos il convient d'utiliser api_domain et de vérifier qu'il a été émis par "Freebox ECC Root CA" ou par "Freebox Root CA" en ajoutant les roots ca suivants:


      -----BEGIN CERTIFICATE-----
      MIICWTCCAd+gAwIBAgIJAMaRcLnIgyukMAoGCCqGSM49BAMCMGExCzAJBgNVBAYT
      AkZSMQ8wDQYDVQQIDAZGcmFuY2UxDjAMBgNVBAcMBVBhcmlzMRMwEQYDVQQKDApG
      cmVlYm94IFNBMRwwGgYDVQQDDBNGcmVlYm94IEVDQyBSb290IENBMB4XDTE1MDkw
      MTE4MDIwN1oXDTM1MDgyNzE4MDIwN1owYTELMAkGA1UEBhMCRlIxDzANBgNVBAgM
      BkZyYW5jZTEOMAwGA1UEBwwFUGFyaXMxEzARBgNVBAoMCkZyZWVib3ggU0ExHDAa
      BgNVBAMME0ZyZWVib3ggRUNDIFJvb3QgQ0EwdjAQBgcqhkjOPQIBBgUrgQQAIgNi
      AASCjD6ZKn5ko6cU5Vxh8GA1KqRi6p2GQzndxHtuUmwY8RvBbhZ0GIL7bQ4f08ae
      JOv0ycWjEW0fyOnAw6AYdsN6y1eNvH2DVfoXQyGoCSvXQNAUxla+sJuLGICRYiZz
      mnijYzBhMB0GA1UdDgQWBBTIB3c2GlbV6EIh2ErEMJvFxMz/QTAfBgNVHSMEGDAW
      gBTIB3c2GlbV6EIh2ErEMJvFxMz/QTAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB
      /wQEAwIBhjAKBggqhkjOPQQDAgNoADBlAjA8tzEMRVX8vrFuOGDhvZr7OSJjbBr8
      gl2I70LeVNGEXZsAThUkqj5Rg9bV8xw3aSMCMQCDjB5CgsLH8EdZmiksdBRRKM2r
      vxo6c0dSSNrr7dDN+m2/dRvgoIpGL2GauOGqDFY=
      -----END CERTIFICATE-----


      -----BEGIN CERTIFICATE-----
      MIIFmjCCA4KgAwIBAgIJAKLyz15lYOrYMA0GCSqGSIb3DQEBCwUAMFoxCzAJBgNV
      BAYTAkZSMQ8wDQYDVQQIDAZGcmFuY2UxDjAMBgNVBAcMBVBhcmlzMRAwDgYDVQQK
      DAdGcmVlYm94MRgwFgYDVQQDDA9GcmVlYm94IFJvb3QgQ0EwHhcNMTUwNzMwMTUw
      OTIwWhcNMzUwNzI1MTUwOTIwWjBaMQswCQYDVQQGEwJGUjEPMA0GA1UECAwGRnJh
      bmNlMQ4wDAYDVQQHDAVQYXJpczEQMA4GA1UECgwHRnJlZWJveDEYMBYGA1UEAwwP
      RnJlZWJveCBSb290IENBMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA
      xqYIvq8538SH6BJ99jDlOPoyDBrlwKEp879oYplicTC2/p0X66R/ft0en1uSQadC
      sL/JTyfgyJAgI1Dq2Y5EYVT/7G6GBtVH6Bxa713mM+I/v0JlTGFalgMqamMuIRDQ
      tdyvqEIs8DcfGB/1l2A8UhKOFbHQsMcigxOe9ZodMhtVNn0mUyG+9Zgu1e/YMhsS
      iG4Kqap6TGtk80yruS1mMWVSgLOq9F5BGD4rlNlWLo0C3R10mFCpqvsFU+g4kYoA
      dTxaIpi1pgng3CGLE0FXgwstJz8RBaZObYEslEYKDzmer5zrU1pVHiwkjsgwbnuy
      WtM1Xry3Jxc7N/i1rxFmN/4l/Tcb1F7x4yVZmrzbQVptKSmyTEvPvpzqzdxVWuYi
      qIFSe/njl8dX9v5hjbMo4CeLuXIRE4nSq2A7GBm4j9Zb6/l2WIBpnCKtwUVlroKw
      NBgB6zHg5WI9nWGuy3ozpP4zyxqXhaTgrQcDDIG/SQS1GOXKGdkCcSa+VkJ0jTf5
      od7PxBn9/TuN0yYdgQK3YDjD9F9+CLp8QZK1bnPdVGywPfL1iztngF9J6JohTyL/
      VMvpWfS/X6R4Y3p8/eSio4BNuPvm9r0xp6IMpW92V8SYL0N6TQQxzZYgkLV7TbQI
      Hw6v64yMbbF0YS9VjS0sFpZcFERVQiodRu7nYNC1jy8CAwEAAaNjMGEwHQYDVR0O
      BBYEFD2erMkECujilR0BuER09FdsYIebMB8GA1UdIwQYMBaAFD2erMkECujilR0B
      uER09FdsYIebMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgGGMA0GCSqG
      SIb3DQEBCwUAA4ICAQAZ2Nx8mWIWckNY8X2t/ymmCbcKxGw8Hn3BfTDcUWQ7GLRf
      MGzTqxGSLBQ5tENaclbtTpNrqPv2k6LY0VjfrKoTSS8JfXkm6+FUtyXpsGK8MrLL
      hZ/YdADTfbbWOjjD0VaPUoglvo2N4n7rOuRxVYIij11fL/wl3OUZ7GHLgL3qXSz0
      +RGW+1oZo8HQ7pb6RwLfv42Gf+2gyNBckM7VVh9R19UkLCsHFqhFBbUmqwJgNA2/
      3twgV6Y26qlyHXXODUfV3arLCwFoNB+IIrde1E/JoOry9oKvF8DZTo/Qm6o2KsdZ
      dxs/YcIUsCvKX8WCKtH6la/kFCUcXIb8f1u+Y4pjj3PBmKI/1+Rs9GqB0kt1otyx
      Q6bqxqBSgsrkuhCfRxwjbfBgmXjIZ/a4muY5uMI0gbl9zbMFEJHDojhH6TUB5qd0
      JJlI61gldaT5Ci1aLbvVcJtdeGhElf7pOE9JrXINpP3NOJJaUSueAvxyj/WWoo0v
      4KO7njox8F6jCHALNDLdTsX0FTGmUZ/s/QfJry3VNwyjCyWDy1ra4KWoqt6U7SzM
      d5jENIZChM8TnDXJzqc+mu00cI3icn9bV9flYCXLTIsprB21wVSMh0XeBGylKxeB
      S27oDfFq04XSox7JM9HdTt2hLK96x1T7FpFrBTnALzb7vHv9MhXqAT90fPR/8A==
      -----END CERTIFICATE-----

L'avantage c'est que l'accès https avec ce type de domaine et de certificat est configuré automatiquement sans intervention de l'utilisateur pour toutes les freebox

Chargement...