- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Freebox OS → Interface Web
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Haute
- Priorité Très Basse
- Basée sur la version 4.0.4
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
1
- abouvier (03/06/2020)
- Privée
Ouverte par ydroneaud - 22/04/2019
Dernière modification par mbizon - 07/08/2020
FS#26978 - Certificat X.509 SSL/TLS non reconnu pour l'accès local à mafreebox.free*
Bonjour,
L’accès à mafreebox.free.fr ou mafreebox.freebox.fr via HTTPS n’est pas rassurant pour l’utilisateur alors que l’utilisation du chiffrement SSL/TLS devrait être obligatoire pour la protection des mots de passe et autres données personnelles/confidentielles échangés entre l’utilisateur et le service.
Le certificat X.509 présenté pour ces sites n’est pas signé par une autorité de confiance (reconnue).
Firefox m’affiche ce message:
Attention : risque probable de sécurité Firefox a détecté une menace de sécurité potentielle et n’a pas poursuivi vers mafreebox.free.fr. Si vous accédez à ce site, des attaquants pourraient dérober des informations comme vos mots de passe, courriels, ou données de carte bancaire.
et:
Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour mafreebox.free.fr. Le certificat est seulement valide pour les noms suivants : n30nr1tf.fbxos.fr, mafreebox.freebox.fr, mafreebox6.freebox.fr Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER
mais aussi:
Impossible de vérifier ce certificat car l'émetteur est inconnu.
Pour information, le certificat présenté est le suivant (format PEM):
-----BEGIN CERTIFICATE----- MIICLDCCAbOgAwIBAgIIEBMtcnyrBucwCgYIKoZIzj0EAwIwWTELMAkGA1UEBhMC RlIxDzANBgNVBAgMBkZyYW5jZTETMBEGA1UECgwKRnJlZWJveCBTQTEkMCIGA1UE AwwbRnJlZWJveCBFQ0MgSW50ZXJtZWRpYXRlIENBMB4XDTE5MDMzMDA4MzIyMVoX DTE5MDYyODA4MzcyMVowKTELMAkGA1UEBhMCRlIxGjAYBgNVBAMMEW4zMG5yMXRm LmZieG9zLmZyMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEpgu3bR334Dw4S0SS MjKaqf90uA5nnx6I59DvM75LmuejCvQThAtoDLBali8Jn/9NzeE42b5a8HVa9heq ba18E6OBlDCBkTAMBgNVHRMBAf8EAjAAMA4GA1UdDwEB/wQEAwIFoDATBgNVHSUE DDAKBggrBgEFBQcDATARBglghkgBhvhCAQEEBAMCBkAwSQYDVR0RBEIwQIIRbjMw bnIxdGYuZmJ4b3MuZnKCFG1hZnJlZWJveC5mcmVlYm94LmZyghVtYWZyZWVib3g2 LmZyZWVib3guZnIwCgYIKoZIzj0EAwIDZwAwZAIwW+RcFhnNlkRhu8XOmZOC4At3 n5qv9WOIWgQRNJV26RzzeFWWZxekalyheuSngBlSAjBOzwSvSB4Qrgllb0lsxM8b VnsPNTRCujmOTyI7SxXGDNg6OviJ3M12P2j1u8QN+Lg= -----END CERTIFICATE-----
Ce qui est traduit par OpenSSL:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1158319498905454311 (0x10132d727cab06e7)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
Validity
Not Before: Mar 30 08:32:21 2019 GMT
Not After : Jun 28 08:37:21 2019 GMT
Subject: C = FR, CN = n30nr1tf.fbxos.fr
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:a6:0b:b7:6d:1d:f7:e0:3c:38:4b:44:92:32:32:
9a:a9:ff:74:b8:0e:67:9f:1e:88:e7:d0:ef:33:be:
4b:9a:e7:a3:0a:f4:13:84:0b:68:0c:b0:5a:96:2f:
09:9f:ff:4d:cd:e1:38:d9:be:5a:f0:75:5a:f6:17:
aa:6d:ad:7c:13
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:n30nr1tf.fbxos.fr, DNS:mafreebox.freebox.fr, DNS:mafreebox6.freebox.fr
Signature Algorithm: ecdsa-with-SHA256
30:64:02:30:5b:e4:5c:16:19:cd:96:44:61:bb:c5:ce:99:93:
82:e0:0b:77:9f:9a:af:f5:63:88:5a:04:11:34:95:76:e9:1c:
f3:78:55:96:67:17:a4:6a:5c:a1:7a:e4:a7:80:19:52:02:30:
4e:cf:04:af:48:1e:10:ae:09:65:6f:49:6c:c4:cf:1b:56:7b:
0f:35:34:42:ba:39:8e:4f:22:3b:4b:15:c6:0c:d8:3a:3a:f8:
89:dc:cd:76:3f:68:f5:bb:c4:0d:f8:b8
On peut constater que le certificat est récent, en cours de validité et bien applicable aux adresses concernées.
Mais l’autorité de certification, Freebox SA, Freebox ECC Intermediate CA, n’est pas reconnue:
$ openssl verify n30nr1tffbxosfr.pem C = FR, CN = n30nr1tf.fbxos.fr error 20 at 0 depth lookup: unable to get local issuer certificate error n30nr1tffbxosfr.pem: verification failed
Il s’agit peut être d’un défaut de configuration du serveur HTTPS: peut-être devrait-il présenter le ou les certificats intermédiaires qui permettrait de vérifier la chaîne de certification (du certificat n30nr1tf.fbxos.fr jusqu’à un certificat racine reconnu de confiance) ?
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Voir aussi
FS#26980C'est normal, chacun est libre de faire confiance ou non à l'autorité de FREE (gratuite). Si vous avez besoin d'un certificat reconnu par une autorité de certification racine de confiance et déjà reconnu par les navigateurs: Free offre la possibilité de personnaliser le domaine et fourni un certificat Let'S Encrypt (par Google); ou vous pouvez acheter votre certificat EV (ceux qui offre une assurance, et affiche un bandeau vert) et l'installer sur freeboxOS.
Ou vous pouvez faire confiance à FREE en ajoutant le certificat FREEBOX ECC Root CA dans votre magasin de certificat Root de confiance.
La communication est de toute façon chiffré du moment qu'on utilise TLS (https://..) certificat valide, non reconnu ou obsolete...
Alors juste "MERCI" parce que ça fait plus de 1h que je cherchais un moyen de faire reconnaitre ma freebox comme sécurisée par cette *%$!@ de Chrome... J'avais tenté plusieurs bricolages avant de tomber sur cette page.
Certificat importé... et ça juste fonctionne out of the box.