Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Anomalie
  • Category Services locaux
  • Assigned To No-one
  • Operating System Tous
  • Severity Critical
  • Priority Very High
  • Reported Version 4.8.13
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 1
    • yy2 (06/09/2024)
  • Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by yy2 - 06/09/2024
Last edited by mmakassikis - 06/09/2024

FS#39716 - Erreur de Certificat TLS

Bonjour,

Depuis mon réseau local, je tente de me connecter à https://mafreebox.freebox.fr/ pour gérer ma box.

Il s’agit d’un problème de sécurité que j’ai classé en critique, puisqu’il permet d’intercepter le trafic.

Mon navigateur m’indique qu’il “ne fait pas confiance à mafreebox.freebox.fr” (Firefox, idem sous Chrome). Le certificat XXXYYY.fbxos.fr ne peut pas être vérifié par le certificateur intermédiaire (Sub CA) Freebox ECC Intermediate CA (code d’errreur Firefox SEC_ERROR_UNKNOWN_ISSUER). Je précise que j’ai testé sous deux terminaux différents (un laptop et un smartphone).

Voici les informations détaillées des certificats.

Certificat serveur :

XXXYYY.fbxos.fr
Identité: XXXYYY.fbxos.fr
Vérifié par: Freebox ECC Intermediate CA
Expire: 19/11/2024

Nom du sujet
C (Pays):	FR
CN (Nom courant):	XXXYYY.fbxos.fr
Nom d’émetteur
C (Pays):	FR
ST (État):	France
O (Organisation):	Freebox SA
CN (Nom courant):	Freebox ECC Intermediate CA
Certificat émis
Version:	3
Numéro de série:	03 FC F1 F5 9B 15 DD 97 FB
Non valide avant:	2024-08-21
Non valide après:	2024-11-19
Empreintes de certificat
SHA1:	DB BC C8 AA C9 5D 64 3F C9 1D 40 B9 5E 07 59 86 1F 1E 2C F3
MD5:	33 D7 2D 19 53 CC 6F 1D 8A 81 42 54 17 45 95 38
Information sur la clé publique
Algorithme de la clé:	Courbe elliptique
Paramètres de la clé:	06 08 2A 86 48 CE 3D 03 01 07
Taille de la clé:	256
Empreinte SHA1 de clé:	0F 19 82 DC B4 A1 3F 94 87 F8 4D 73 5B 4D 18 C2 1D 83 47 86
Clé publique:	04 F7 09 C8 FB F0 1D FD 2C 53 E4 1F 97 9D E8 0C D2 B6 76 4F 00 D7 D0 C3 08 B2 92 6A 73 17 7D 51 4C 21 AF 8D CC 41 F3 B8 39 23 D2 07 86 36 B9 EF F1 B0 FC 13 E4 2E 3F 23 1E 88 E4 2D 50 EF 78 89 38
Contraintes de base
Autorité de certification:	Non
Longueur de chemin maximale:	Illimité
Critique:	Oui
Utilisation de clé
Utilisations:	Signature numérique
Chiffrement de clé
Critique:	Oui
Utilisation de clé étendue
Usages autorisés:	Authentification de serveur
Critique:	Non
Extension
Identificateur:	2.16.840.1.113730.1.1
Valeur:	03 02 06 40
Critique:	Non
Noms alternatifs du sujet
DNS:	XXXYYY.fbxos.fr
DNS:	mafreebox.freebox.fr
DNS:	mafreebox6.freebox.fr
Critique:	Non
Signature
Algorithme de signature:	SHA256 avec ECDSA
Signature:	30 66 02 31 00 E2 55 22 00 15 67 0F CC 29 3D 7B 95 C1 5A 0E EC E8 35 55 68 5B BE 2A EB 39 FF FF C1 C2 75 21 9E 6C A2 12 9E FA FD 6A B1 E8 49 96 B4 74 68 B7 FC 02 31 00 B4 87 08 3E 78 C5 E4 8F 29 5C 28 2A A3 27 51 2F FE 07 BA 38 7E 24 23 6A C2 6C 70 0B F8 91 29 A4 48 B4 DE 72 3E FA 41 F0 4B 84 64 AB 83 81 B7 E2

Certificat intermédiaire :

Freebox ECC Intermediate CA
Identité: Freebox ECC Intermediate CA
Vérifié par: Freebox ECC Root CA
Expire: 29/08/2025

Nom du sujet
C (Pays):	FR
ST (État):	France
O (Organisation):	Freebox SA
CN (Nom courant):	Freebox ECC Intermediate CA
Nom d’émetteur
C (Pays):	FR
ST (État):	France
L (Localité):	Paris
O (Organisation):	Freebox SA
CN (Nom courant):	Freebox ECC Root CA
Certificat émis
Version:	3
Numéro de série:	13 37
Non valide avant:	2015-09-01
Non valide après:	2025-08-29
Empreintes de certificat
SHA1:	B8 A8 1A C2 39 52 D6 95 1F 8E 1D 5B 45 C8 24 66 18 ED 1F B2
MD5:	48 95 6E D5 81 E3 2A 22 00 47 49 3D 58 8B 0F 0C
Information sur la clé publique
Algorithme de la clé:	Courbe elliptique
Paramètres de la clé:	06 05 2B 81 04 00 22
Taille de la clé:	384
Empreinte SHA1 de clé:	5E 7E 2C 0E C4 04 F2 9B E9 5A A0 7A 4E A6 B9 53 14 31 3A 54
Clé publique:	04 99 87 F0 29 9F 9E 91 BA 57 0D 28 3A 95 81 5A 93 0E EB 2F 55 02 BD 90 88 09 0F 7F 4C CE 99 DB B3 13 16 BF 5E 91 2A CE 49 5C 63 5B DB 5C F9 42 C9 83 9C A7 23 66 DF 53 13 E0 4F 87 89 74 28 39 8C B4 02 F9 AB E2 3F AF 49 45 B8 91 3B 26 88 56 37 8E EB 3D 66 FB 84 E9 76 37 D4 43 63 EE 87 A9 0C
Identificateur de clé du sujet
Identificateur de clé:	FA 9B 9E BF ED E2 E2 C6 FE 5E 04 24 FB 5C 70 DE 1D A2 2D 5D
Critique:	Non
Extension
Identificateur:	2.5.29.35
Valeur:	30 16 80 14 C8 07 77 36 1A 56 D5 E8 42 21 D8 4A C4 30 9B C5 C4 CC FF 41
Critique:	Non
Contraintes de base
Autorité de certification:	Oui
Longueur de chemin maximale:	0
Critique:	Oui
Utilisation de clé
Utilisations:	Signature numérique
Signature de certificat
Signature de liste de révocation
Critique:	Oui
Signature
Algorithme de signature:	SHA256 avec ECDSA
Signature:	30 66 02 31 00 E7 4F A4 F5 4E BE 84 24 A0 A5 7E 77 BC 18 A2 69 9A 2C BA A5 62 31 33 01 D3 75 43 B1 C9 53 7C 38 7B 3F 38 69 96 95 26 1E 75 E9 E8 6E 05 41 F1 EA 02 31 00 C8 94 00 04 09 FA CC CC 45 6E AA C8 8C 41 65 F2 14 7E 05 F6 CC 5F 0B 48 D2 F7 2B 95 2C E8 48 EC DA D9 DD 04 68 3D B5 EB 7A 39 D2 D9 19 9B 88 3A

Je note aussi qu’en voulant aller vers https://freebox.fr j’obtiens là aussi un avertissement mais de type SSL_ERROR_BAD_CERT_DOMAIN.

*.free.fr
Identité: *.free.fr
Vérifié par: RapidSSL TLS RSA CA G1
Expire: 16/07/2025

Nom du sujet
CN (Nom courant):	*.free.fr
Nom d’émetteur
C (Pays):	US
O (Organisation):	DigiCert Inc
OU (Unité d’organisation):	www.digicert.com
CN (Nom courant):	RapidSSL TLS RSA CA G1
Certificat émis
Version:	3
Numéro de série:	01 0B DF 4E 09 E7 D2 9F CB 35 73 AB E7 23 A4 F2
Non valide avant:	2024-06-20
Non valide après:	2025-07-16
Empreintes de certificat
SHA1:	1F AA 5E 3C 35 99 1B 58 7F 67 F0 97 40 A7 E5 55 27 39 1D 68
MD5:	A6 1B 3B 50 1D 01 31 A4 FF 1A A9 B4 AD 9F EE 67
Information sur la clé publique
Algorithme de la clé:	RSA
Paramètres de la clé:	05 00
Taille de la clé:	2048
Empreinte SHA1 de clé:	C2 BE 18 77 C6 78 3F 52 D1 2A 0D 2A 5C E2 A9 B8 3F 06 AD 45
Clé publique:	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
Extension
Identificateur:	2.5.29.35
Valeur:	30 16 80 14 0C DB 6C 82 49 0F 4A 67 0A B8 14 EE 7A C4 48 52 88 EB 56 38
Critique:	Non
Identificateur de clé du sujet
Identificateur de clé:	27 E1 55 B3 C1 05 BD 6F 8B 79 85 F9 5B 88 D4 20 BC C7 AF A7
Critique:	Non
Noms alternatifs du sujet
DNS:	*.free.fr
DNS:	free.fr
Critique:	Non
Extension
Identificateur:	2.5.29.32
Valeur:	30 35 30 33 06 06 67 81 0C 01 02 01 30 29 30 27 06 08 2B 06 01 05 05 07 02 01 16 1B 68 74 74 70 3A 2F 2F 77 77 77 2E 64 69 67 69 63 65 72 74 2E 63 6F 6D 2F 43 50 53
Critique:	Non
Utilisation de clé
Utilisations:	Signature numérique
Chiffrement de clé
Critique:	Oui
Utilisation de clé étendue
Usages autorisés:	Authentification de serveur
Authentification de client
Critique:	Non
Extension
Identificateur:	2.5.29.31
Valeur:	30 36 30 34 A0 32 A0 30 86 2E 68 74 74 70 3A 2F 2F 63 64 70 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 2F 52 61 70 69 64 53 53 4C 54 4C 53 52 53 41 43 41 47 31 2E 63 72 6C
Critique:	Non
Extension
Identificateur:	1.3.6.1.5.5.7.1.1
Valeur:	30 68 30 26 06 08 2B 06 01 05 05 07 30 01 86 1A 68 74 74 70 3A 2F 2F 73 74 61 74 75 73 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 30 3E 06 08 2B 06 01 05 05 07 30 02 86 32 68 74 74 70 3A 2F 2F 63 61 63 65 72 74 73 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 2F 52 61 70 69 64 53 53 4C 54 4C 53 52 53 41 43 41 47 31 2E 63 72 74
Critique:	Non
Contraintes de base
Autorité de certification:	Non
Longueur de chemin maximale:	Illimité
Critique:	Oui
Extension
Identificateur:	1.3.6.1.4.1.11129.2.4.2
Valeur:	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
Critique:	Non
Signature
Algorithme de signature:	1.2.840.113549.1.1.11
Paramètres de signature:	05 00
Signature:	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


RapidSSL TLS RSA CA G1
Identité: RapidSSL TLS RSA CA G1
Vérifié par: DigiCert Global Root G2
Expire: 02/11/2027

Il n’y a pas de certificat généré pour ma Freebox.freebox.fr.

Vous devez créer un sous domaine personnalisé si voulez un certificat.

Bonjour

Vous devez installer les rootCA de la PKI FREEBOX sur votre machine :

# Freebox Root Certificate Authority (rootCA) : 

# --> ECDSA (Freebox ECC Root CA): valid until 2035-08-27

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


# --> RSA (Freebox Root CA): valid until 2035-20-25

-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----


Pour les ILIADBOX en Italy, même principe :

# --> ECDSA (Iliadbox ECC Root CA): valid until 2040-11-22
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----



# --> RSA (Iliadbox RSA Root CA): valid until 2040-11-22

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


Si vous êtes sous Linux, soit vous mettez à jour /etc/pki/ avec les liens qui vont bien (voir https://www.redhat.com/sysadmin/configure-ca-trust-list) , soit vous utilisez une distrib type debian-like qui configure le packet ca-certificate dans /usr/share/ca-certificate et vous ajoutez les certificats dans un répertoire freebox/ dans /usr/share/ca-certificate et vous ajouter freebox/filename.crt dans /etc/ca-certificate.conf puis vous executez update-ca-certificate

Il peut également être util d’ajouter manuellement ces 2 certificats à Firefox ou à google-chrome (sous Linux !)

Si vous êtes sous windows, désolé je ne sais pas comment on fait (le principe est le même, ajout des root CA de la freebox à la base de donnée des certificats du système, mais je ne sais pas comment on fait).

Cordialement
nbanba

yy2 commented on 09.09.2024 12:10

Bonjour,

Merci pour vos réponses. Je vais mettre en œuvre vos préconisations puis je reviens vers vous pour confirmer que le certificat serveur correspond bien à celui du CA racine.

Cordialement,

Bonjour,
Je confirme en important le rootCA dans Firefox, la connexion à https://mafreebox.freebox.fr/ fonctionne en HTTPS

Bonne journée

yy2 commented on 02.10.2024 22:17

Bonjour,

J’utilise Firefox qui effectivement embarque les certificats dans sa propre base de données. J’aimerais l’ajouter mais auparavant je souhaite vérifier que le certificat “Freebox ECC Intermediate CA” est bien signé par “Freebox Root Certificate Authority”.

J’ai donc récupéré les fichiers .pem locaux de mafreebox.freebox.fr via Firefox, et j’ai collé le certificat ECDSA Root dans le fichier .crt adéquat.

J’utilise Debian et la commande openssl :

**$ openssl verify FreeboxRootCertificateAuthority.crt**
FreeboxRootCertificateAuthority.crt: OK

**$ openssl verify -CAfile FreeboxRootCertificateAuthority.crt -untrusted tvp9ws7n-fbxos-fr-chain.pem tvp9ws7n-fbxos-fr.pem **
C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
error 20 at 1 depth lookup: unable to get local issuer certificate
error tvp9ws7n-fbxos-fr.pem: verification failed

Je connais mal openssl, j’ai sans doute du louper quelque chose. Pourriez-vous m’indiquer comment procéder à la vérification ?

Par avance, merci beaucoup.

Cordialement,
Yann

Bonjour

Dans la commande openssl, ajoutez ‘-depth 4’ pour avoir une profondeur de 4 intermédiaires sur le dernier intermédiaire testé.
Ça devrait sortir le rootCA que vous cherchez.

PS:
Pour avoir déjà vérifier de mon côté, tout est OK.
Cependant, et au même titre que j’ai personnellement testé sans faire confiance (notamment lors du développement de la library BASH https://github.com/nbanb/fbx-delta-nba_bash_api.sh), je vous invite à ne jamais croire sans vérifier !

Donc Bravo ! Continuez à toujours vérifier, trop de personnes aillant connaissances du système de certification utilisée par TLS font systématiquement et aveuglement confiance juste parce que le certificat vient d’un GAFAM ou qu’à première vue “ça semble sérieux” …

Cordialement
nbanba

yy2 commented on 03.10.2024 13:55

Bonjour,

Merci pour votre conseil. Malheureusement, je ne trouve pas l’option -depth dans la documentation et mes essais sont infructueux :

$ openssl verify -depth 4 -CAfile freebox-root-ca.pem -untrusted tvp9ws7n-fbxos-fr-chain.pem tvp9ws7n-fbxos-fr.pem
verify: Unknown option: -depth
verify: Use -help for summary.

$ openssl -depth 4 verify -CAfile freebox-root-ca.pem -untrusted tvp9ws7n-fbxos-fr-chain.pem tvp9ws7n-fbxos-fr.pem
Invalid command '-depth'; type "help" for a list.

$ openssl verify -CAfile freebox-root-ca.pem -untrusted tvp9ws7n-fbxos-fr-chain.pem tvp9ws7n-fbxos-fr.pem -depth 4
C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
error 20 at 1 depth lookup: unable to get local issuer certificate
error tvp9ws7n-fbxos-fr.pem: verification failed
Could not open file or uri for loading certificate file from -depth
40B716E0237F0000:error:16000069:STORE routines:ossl_store_get0_loader_int:unregistered scheme:../crypto/store/store_register.c:237:scheme=file
40B716E0237F0000:error:80000002:system library:file_open:No such file or directory:../providers/implementations/storemgmt/file_store.c:267:calling stat(-depth)
Unable to load certificate file
Could not open file or uri for loading certificate file from 4
40B716E0237F0000:error:16000069:STORE routines:ossl_store_get0_loader_int:unregistered scheme:../crypto/store/store_register.c:237:scheme=file
40B716E0237F0000:error:80000002:system library:file_open:No such file or directory:../providers/implementations/storemgmt/file_store.c:267:calling stat(4)
Unable to load certificate file

Les certificats que je teste sont disponibles sur :
https://drop.infini.fr/r/NyXkW31SyV#QHanjgd+hCxGZbgnw0Yh+Hr0VkPefveav98tiPcSrnk= https://drop.infini.fr/r/Kd8c4RmdJa#HX4tW1JmEIggYVYqBaf45BQ4kboYf4uK3YScQfoahyY= https://drop.infini.fr/r/bwGBDGYgXY#48fLdcGKe/idVNGp7AgORuyPW4vbuuDiREXOzx2+snw=

Cordialement,
Yann

Bonjour

En fait c’est peut-être un peu direct comme commentaire mais openssl est un espece de programme ‘multi programme ' et vous n’utilisez pas correctement le ‘verb’ en seconde position des paramètres openssl:
Le ‘verb’ en fait c’est le type de job que vous demandez à openssl quand vous lancez la commande, vous pouvez même limite le comparer à un programme autonome plutôt complet, par exemple :
openssl x509 … est le programme pour les certificats x509
openssl ca … est le programme pour les certificats CA
openssl req … est le programme pour les demandes de certificats
openssl s_tunnel… est le programme pour gérer les tunnels TLS

À chaque fois il y a plein d’options disponibles pour chaque ‘verb’ appelé.

Après franchement désolé car en fait pour ce que vous voulez faire, il y a certainement plus lisible ou plus simple comme commande que celles précédemment évoqués, par exemple qqch du type:

#bash
echo Q |openssl s_client -showcerts -verify 5 -connect mafreebox.freebox.fr:443

Ça vous sortira les certificats de la chaine certification utilisée lors de la transaction TLS jusqu’à une profondeur de 5 intermédiaires.

Ensuite vous récupérez dans l’output le ou les certificats qui vous intéressent afin de les comparer avec les originaux pour vérification avec la commande ‘diff’ et non avec une des option de openssl (comme ça d’après moi on voit mieux ce qu’on fait)

PS:
Si vous utilisez une version d’openssl de plus de 4 ou 5 ans (avant openssl 1.1.1.n), vous deverez peut-être ajouter le paramètre suivant avant ‘-connect’ dans la commande :
“-servername mafreebox.freebox.fr”

Cordialement
nbanba

yy2 commented on 07.10.2024 11:36

Bonjour,

C’est vrai qu’openssl est une boîte à outils très riche, un peu comme `imagemagick` dans un autre domaine. Ce n’est pas toujours facile de trouver le bon sous-programme.

Étant sous Debian 12, j’ai mis à jour mes certificats après conversion au format .crt :
```
$ cd /usr/share/ca-certificates/freebox
$ openssl x509 -outform der -in freebox-root-ca.pem -out freebox-root-ca.crt
[…]
$ cat «EOF » /etc/ca-certificates.conf
freebox/freebox-root-ca-chain.crt
freebox/freebox-root-ca.crt
freebox/tvp9ws7n-fbxos-fr-chain.crt
freebox/tvp9ws7n-fbxos-fr.crt
EOF

$ update-ca-certificates
```

Mais la commande proposée ne permet toujours pas d’arriver jusqu’au certificat root :
```
$ echo Q |openssl s_client -showcerts -verify 5 -connect mafreebox.freebox.fr:443
verify depth is 5
CONNECTED(00000003)
depth=1 C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify error:num=2:unable to get issuer certificate
issuer= C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
verify return:1
depth=0 C = FR, CN = tvp9ws7n.fbxos.fr
issuer= C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify return:1
— Certificate chain
0 s:C = FR, CN = tvp9ws7n.fbxos.fr

 i:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
 a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA256
 v:NotBefore: Aug 21 05:08:09 2024 GMT; NotAfter: Nov 19 05:13:09 2024 GMT

—–BEGIN CERTIFICATE—– MIICLzCCAbSgAwIBAgIJA/zx9ZsV3Zf7MAoGCCqGSM49BAMCMFkxCzAJBgNVBAYT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—–END CERTIFICATE—– 1 s:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA

 i:C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: ecdsa-with-SHA256
 v:NotBefore: Sep  1 18:08:27 2015 GMT; NotAfter: Aug 29 18:08:27 2025 GMT

—–BEGIN CERTIFICATE—– MIICTjCCAdOgAwIBAgICEzcwCgYIKoZIzj0EAwIwYTELMAkGA1UEBhMCRlIxDzAN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—–END CERTIFICATE—– — Server certificate
subject=C = FR, CN = tvp9ws7n.fbxos.fr
issuer=C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
— No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
SSL handshake has read 1537 bytes and written 406 bytes
Verification error: unable to get issuer certificate
— New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 2 (unable to get issuer certificate)
— DONE
```

J’ai essayé cette commande en précisant le certificat local (au format .pem), mais le résultat reste identique :
```
$ echo Q |openssl s_client -CAfile /usr/share/ca-certificates/freebox/tvp9ws7n-fbxos-fr.pem -showcerts -verify 5 -connect mafreebox.freebox.fr:443
```

yy2 commented on 07.10.2024 13:23

UPDATE!

Je n’avais mis que le certificat RSA, j’ai créé un certificat combiné avec RSA+ECDSA et j’obtiens un résultat bien plus satisfaisant :
```
echo Q |openssl s_client -CAfile freebox-root-ca-combined.pem -showcerts -verify 5 -connect mafreebox.freebox.fr:443
verify depth is 5
CONNECTED(00000003)
depth=2 C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
verify return:1
depth=1 C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify return:1
depth=0 C = FR, CN = tvp9ws7n.fbxos.fr
verify return:1
— Certificate chain
0 s:C = FR, CN = tvp9ws7n.fbxos.fr

 i:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
 a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA256
 v:NotBefore: Aug 21 05:08:09 2024 GMT; NotAfter: Nov 19 05:13:09 2024 GMT

—–BEGIN CERTIFICATE—– MIICLzCCAbSgAwIBAgIJA/zx9ZsV3Zf7MAoGCCqGSM49BAMCMFkxCzAJBgNVBAYT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—–END CERTIFICATE—– 1 s:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA

 i:C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: ecdsa-with-SHA256
 v:NotBefore: Sep  1 18:08:27 2015 GMT; NotAfter: Aug 29 18:08:27 2025 GMT

—–BEGIN CERTIFICATE—– MIICTjCCAdOgAwIBAgICEzcwCgYIKoZIzj0EAwIwYTELMAkGA1UEBhMCRlIxDzAN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—–END CERTIFICATE—– — Server certificate
subject=C = FR, CN = tvp9ws7n.fbxos.fr
issuer=C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
— No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
SSL handshake has read 1537 bytes and written 406 bytes
Verification: OK
— New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
— DONE

```

yy2 commented on 07.10.2024 13:31

```
openssl verify -CAfile freebox-root-ca-combined.pem -untrusted freebox-intermediate.pem tvp9ws7n-fbxos-fr.pem
tvp9ws7n-fbxos-fr.pem: OK
```

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing