- Status Nouveau
- Percent Complete
- Task Type Anomalie
- Category Services locaux
- Assigned To No-one
- Operating System Tous
- Severity Critical
- Priority Very High
- Reported Version 4.8.13
- Due in Version Undecided
-
Due Date
Undecided
-
Votes
1
- yy2 (06/09/2024)
- Private
Opened by yy2 - 06/09/2024
Last edited by mmakassikis - 06/09/2024
FS#39716 - Erreur de Certificat TLS
Bonjour,
Depuis mon réseau local, je tente de me connecter à https://mafreebox.freebox.fr/ pour gérer ma box.
Il s’agit d’un problème de sécurité que j’ai classé en critique, puisqu’il permet d’intercepter le trafic.
Mon navigateur m’indique qu’il “ne fait pas confiance à mafreebox.freebox.fr” (Firefox, idem sous Chrome). Le certificat XXXYYY.fbxos.fr ne peut pas être vérifié par le certificateur intermédiaire (Sub CA) Freebox ECC Intermediate CA (code d’errreur Firefox SEC_ERROR_UNKNOWN_ISSUER). Je précise que j’ai testé sous deux terminaux différents (un laptop et un smartphone).
Voici les informations détaillées des certificats.
Certificat serveur :
XXXYYY.fbxos.fr Identité: XXXYYY.fbxos.fr Vérifié par: Freebox ECC Intermediate CA Expire: 19/11/2024 Nom du sujet C (Pays): FR CN (Nom courant): XXXYYY.fbxos.fr Nom d’émetteur C (Pays): FR ST (État): France O (Organisation): Freebox SA CN (Nom courant): Freebox ECC Intermediate CA Certificat émis Version: 3 Numéro de série: 03 FC F1 F5 9B 15 DD 97 FB Non valide avant: 2024-08-21 Non valide après: 2024-11-19 Empreintes de certificat SHA1: DB BC C8 AA C9 5D 64 3F C9 1D 40 B9 5E 07 59 86 1F 1E 2C F3 MD5: 33 D7 2D 19 53 CC 6F 1D 8A 81 42 54 17 45 95 38 Information sur la clé publique Algorithme de la clé: Courbe elliptique Paramètres de la clé: 06 08 2A 86 48 CE 3D 03 01 07 Taille de la clé: 256 Empreinte SHA1 de clé: 0F 19 82 DC B4 A1 3F 94 87 F8 4D 73 5B 4D 18 C2 1D 83 47 86 Clé publique: 04 F7 09 C8 FB F0 1D FD 2C 53 E4 1F 97 9D E8 0C D2 B6 76 4F 00 D7 D0 C3 08 B2 92 6A 73 17 7D 51 4C 21 AF 8D CC 41 F3 B8 39 23 D2 07 86 36 B9 EF F1 B0 FC 13 E4 2E 3F 23 1E 88 E4 2D 50 EF 78 89 38 Contraintes de base Autorité de certification: Non Longueur de chemin maximale: Illimité Critique: Oui Utilisation de clé Utilisations: Signature numérique Chiffrement de clé Critique: Oui Utilisation de clé étendue Usages autorisés: Authentification de serveur Critique: Non Extension Identificateur: 2.16.840.1.113730.1.1 Valeur: 03 02 06 40 Critique: Non Noms alternatifs du sujet DNS: XXXYYY.fbxos.fr DNS: mafreebox.freebox.fr DNS: mafreebox6.freebox.fr Critique: Non Signature Algorithme de signature: SHA256 avec ECDSA Signature: 30 66 02 31 00 E2 55 22 00 15 67 0F CC 29 3D 7B 95 C1 5A 0E EC E8 35 55 68 5B BE 2A EB 39 FF FF C1 C2 75 21 9E 6C A2 12 9E FA FD 6A B1 E8 49 96 B4 74 68 B7 FC 02 31 00 B4 87 08 3E 78 C5 E4 8F 29 5C 28 2A A3 27 51 2F FE 07 BA 38 7E 24 23 6A C2 6C 70 0B F8 91 29 A4 48 B4 DE 72 3E FA 41 F0 4B 84 64 AB 83 81 B7 E2
Certificat intermédiaire :
Freebox ECC Intermediate CA Identité: Freebox ECC Intermediate CA Vérifié par: Freebox ECC Root CA Expire: 29/08/2025 Nom du sujet C (Pays): FR ST (État): France O (Organisation): Freebox SA CN (Nom courant): Freebox ECC Intermediate CA Nom d’émetteur C (Pays): FR ST (État): France L (Localité): Paris O (Organisation): Freebox SA CN (Nom courant): Freebox ECC Root CA Certificat émis Version: 3 Numéro de série: 13 37 Non valide avant: 2015-09-01 Non valide après: 2025-08-29 Empreintes de certificat SHA1: B8 A8 1A C2 39 52 D6 95 1F 8E 1D 5B 45 C8 24 66 18 ED 1F B2 MD5: 48 95 6E D5 81 E3 2A 22 00 47 49 3D 58 8B 0F 0C Information sur la clé publique Algorithme de la clé: Courbe elliptique Paramètres de la clé: 06 05 2B 81 04 00 22 Taille de la clé: 384 Empreinte SHA1 de clé: 5E 7E 2C 0E C4 04 F2 9B E9 5A A0 7A 4E A6 B9 53 14 31 3A 54 Clé publique: 04 99 87 F0 29 9F 9E 91 BA 57 0D 28 3A 95 81 5A 93 0E EB 2F 55 02 BD 90 88 09 0F 7F 4C CE 99 DB B3 13 16 BF 5E 91 2A CE 49 5C 63 5B DB 5C F9 42 C9 83 9C A7 23 66 DF 53 13 E0 4F 87 89 74 28 39 8C B4 02 F9 AB E2 3F AF 49 45 B8 91 3B 26 88 56 37 8E EB 3D 66 FB 84 E9 76 37 D4 43 63 EE 87 A9 0C Identificateur de clé du sujet Identificateur de clé: FA 9B 9E BF ED E2 E2 C6 FE 5E 04 24 FB 5C 70 DE 1D A2 2D 5D Critique: Non Extension Identificateur: 2.5.29.35 Valeur: 30 16 80 14 C8 07 77 36 1A 56 D5 E8 42 21 D8 4A C4 30 9B C5 C4 CC FF 41 Critique: Non Contraintes de base Autorité de certification: Oui Longueur de chemin maximale: 0 Critique: Oui Utilisation de clé Utilisations: Signature numérique Signature de certificat Signature de liste de révocation Critique: Oui Signature Algorithme de signature: SHA256 avec ECDSA Signature: 30 66 02 31 00 E7 4F A4 F5 4E BE 84 24 A0 A5 7E 77 BC 18 A2 69 9A 2C BA A5 62 31 33 01 D3 75 43 B1 C9 53 7C 38 7B 3F 38 69 96 95 26 1E 75 E9 E8 6E 05 41 F1 EA 02 31 00 C8 94 00 04 09 FA CC CC 45 6E AA C8 8C 41 65 F2 14 7E 05 F6 CC 5F 0B 48 D2 F7 2B 95 2C E8 48 EC DA D9 DD 04 68 3D B5 EB 7A 39 D2 D9 19 9B 88 3A
Je note aussi qu’en voulant aller vers https://freebox.fr j’obtiens là aussi un avertissement mais de type SSL_ERROR_BAD_CERT_DOMAIN.
*.free.fr Identité: *.free.fr Vérifié par: RapidSSL TLS RSA CA G1 Expire: 16/07/2025 Nom du sujet CN (Nom courant): *.free.fr Nom d’émetteur C (Pays): US O (Organisation): DigiCert Inc OU (Unité d’organisation): www.digicert.com CN (Nom courant): RapidSSL TLS RSA CA G1 Certificat émis Version: 3 Numéro de série: 01 0B DF 4E 09 E7 D2 9F CB 35 73 AB E7 23 A4 F2 Non valide avant: 2024-06-20 Non valide après: 2025-07-16 Empreintes de certificat SHA1: 1F AA 5E 3C 35 99 1B 58 7F 67 F0 97 40 A7 E5 55 27 39 1D 68 MD5: A6 1B 3B 50 1D 01 31 A4 FF 1A A9 B4 AD 9F EE 67 Information sur la clé publique Algorithme de la clé: RSA Paramètres de la clé: 05 00 Taille de la clé: 2048 Empreinte SHA1 de clé: C2 BE 18 77 C6 78 3F 52 D1 2A 0D 2A 5C E2 A9 B8 3F 06 AD 45 Clé publique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xtension Identificateur: 2.5.29.35 Valeur: 30 16 80 14 0C DB 6C 82 49 0F 4A 67 0A B8 14 EE 7A C4 48 52 88 EB 56 38 Critique: Non Identificateur de clé du sujet Identificateur de clé: 27 E1 55 B3 C1 05 BD 6F 8B 79 85 F9 5B 88 D4 20 BC C7 AF A7 Critique: Non Noms alternatifs du sujet DNS: *.free.fr DNS: free.fr Critique: Non Extension Identificateur: 2.5.29.32 Valeur: 30 35 30 33 06 06 67 81 0C 01 02 01 30 29 30 27 06 08 2B 06 01 05 05 07 02 01 16 1B 68 74 74 70 3A 2F 2F 77 77 77 2E 64 69 67 69 63 65 72 74 2E 63 6F 6D 2F 43 50 53 Critique: Non Utilisation de clé Utilisations: Signature numérique Chiffrement de clé Critique: Oui Utilisation de clé étendue Usages autorisés: Authentification de serveur Authentification de client Critique: Non Extension Identificateur: 2.5.29.31 Valeur: 30 36 30 34 A0 32 A0 30 86 2E 68 74 74 70 3A 2F 2F 63 64 70 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 2F 52 61 70 69 64 53 53 4C 54 4C 53 52 53 41 43 41 47 31 2E 63 72 6C Critique: Non Extension Identificateur: 1.3.6.1.5.5.7.1.1 Valeur: 30 68 30 26 06 08 2B 06 01 05 05 07 30 01 86 1A 68 74 74 70 3A 2F 2F 73 74 61 74 75 73 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 30 3E 06 08 2B 06 01 05 05 07 30 02 86 32 68 74 74 70 3A 2F 2F 63 61 63 65 72 74 73 2E 72 61 70 69 64 73 73 6C 2E 63 6F 6D 2F 52 61 70 69 64 53 53 4C 54 4C 53 52 53 41 43 41 47 31 2E 63 72 74 Critique: Non Contraintes de base Autorité de certification: Non Longueur de chemin maximale: Illimité Critique: Oui Extension Identificateur: 1.3.6.1.4.1.11129.2.4.2 Valeur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ritique: Non Signature Algorithme de signature: 1.2.840.113549.1.1.11 Paramètres de signature: 05 00 Signature: 56 96 2A 52 C3 16 21 C8 31 A7 7E 37 1C B1 E6 6B 8A 5F 55 94 1F 91 4F E9 8B CB E6 52 DA 95 0D 1F 07 62 D8 D1 AB 53 75 1B 88 2B 77 E5 C4 7B 55 4E 43 86 F4 AB 84 26 A2 FB CF A9 ED 50 82 C0 B1 75 EA CD 59 06 07 9F D3 60 F4 F9 76 45 92 12 AA 71 D3 09 CF 76 22 E3 06 BF FC 63 CE FB 24 5A F6 E5 64 BF 4D 2C 91 27 DA D8 57 8E A6 08 AD 6F 67 22 D9 13 DB 97 20 3C B8 7D A1 2F B6 E5 3C FB D5 2A 50 E0 EE 29 33 C4 B3 7D D6 CA 23 EA 86 AC 6B 96 E2 8F 9A 40 48 52 8D 75 A1 4E 14 5C E4 F4 92 7B B5 1E 25 DA 29 B5 DC 14 A1 17 70 8A 07 C5 33 83 11 CC 5F 10 4D CC C5 E3 0B 9A 0E 35 38 16 17 B2 5A 75 12 5D B5 25 B0 57 BF C4 CA DC DD 67 52 DA FB ED 5D 42 A7 05 7A DE D7 B5 EA 0F 4C 2C F8 C1 0B 40 07 F2 C3 ED E1 FA 8F 9E 2D F8 97 99 62 1B A0 CD 4F 33 57 55 3B 2A D6 EF 70 7E B6 7C 61 DA RapidSSL TLS RSA CA G1 Identité: RapidSSL TLS RSA CA G1 Vérifié par: DigiCert Global Root G2 Expire: 02/11/2027
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Il n’y a pas de certificat généré pour ma Freebox.freebox.fr.
Vous devez créer un sous domaine personnalisé si voulez un certificat.
Bonjour
Vous devez installer les rootCA de la PKI FREEBOX sur votre machine :
Pour les ILIADBOX en Italy, même principe :
Si vous êtes sous Linux, soit vous mettez à jour /etc/pki/ avec les liens qui vont bien (voir https://www.redhat.com/sysadmin/configure-ca-trust-list) , soit vous utilisez une distrib type debian-like qui configure le packet ca-certificate dans /usr/share/ca-certificate et vous ajoutez les certificats dans un répertoire freebox/ dans /usr/share/ca-certificate et vous ajouter freebox/filename.crt dans /etc/ca-certificate.conf puis vous executez update-ca-certificate
Il peut également être util d’ajouter manuellement ces 2 certificats à Firefox ou à google-chrome (sous Linux !)
Si vous êtes sous windows, désolé je ne sais pas comment on fait (le principe est le même, ajout des root CA de la freebox à la base de donnée des certificats du système, mais je ne sais pas comment on fait).
Cordialement
nbanba
Bonjour,
Merci pour vos réponses. Je vais mettre en œuvre vos préconisations puis je reviens vers vous pour confirmer que le certificat serveur correspond bien à celui du CA racine.
Cordialement,
Bonjour,
Je confirme en important le rootCA dans Firefox, la connexion à https://mafreebox.freebox.fr/ fonctionne en HTTPS
Bonne journée
Bonjour,
J’utilise Firefox qui effectivement embarque les certificats dans sa propre base de données. J’aimerais l’ajouter mais auparavant je souhaite vérifier que le certificat “Freebox ECC Intermediate CA” est bien signé par “Freebox Root Certificate Authority”.
J’ai donc récupéré les fichiers .pem locaux de mafreebox.freebox.fr via Firefox, et j’ai collé le certificat ECDSA Root dans le fichier .crt adéquat.
J’utilise Debian et la commande openssl :
Je connais mal openssl, j’ai sans doute du louper quelque chose. Pourriez-vous m’indiquer comment procéder à la vérification ?
Par avance, merci beaucoup.
Cordialement,
Yann
Bonjour
Dans la commande openssl, ajoutez ‘-depth 4’ pour avoir une profondeur de 4 intermédiaires sur le dernier intermédiaire testé.
Ça devrait sortir le rootCA que vous cherchez.
PS:
Pour avoir déjà vérifier de mon côté, tout est OK.
Cependant, et au même titre que j’ai personnellement testé sans faire confiance (notamment lors du développement de la library BASH https://github.com/nbanb/fbx-delta-nba_bash_api.sh), je vous invite à ne jamais croire sans vérifier !
Donc Bravo ! Continuez à toujours vérifier, trop de personnes aillant connaissances du système de certification utilisée par TLS font systématiquement et aveuglement confiance juste parce que le certificat vient d’un GAFAM ou qu’à première vue “ça semble sérieux” …
Cordialement
nbanba
Bonjour,
Merci pour votre conseil. Malheureusement, je ne trouve pas l’option -depth dans la documentation et mes essais sont infructueux :
Les certificats que je teste sont disponibles sur :
https://drop.infini.fr/r/NyXkW31SyV#QHanjgd+hCxGZbgnw0Yh+Hr0VkPefveav98tiPcSrnk= https://drop.infini.fr/r/Kd8c4RmdJa#HX4tW1JmEIggYVYqBaf45BQ4kboYf4uK3YScQfoahyY= https://drop.infini.fr/r/bwGBDGYgXY#48fLdcGKe/idVNGp7AgORuyPW4vbuuDiREXOzx2+snw=
Cordialement,
Yann
Bonjour
En fait c’est peut-être un peu direct comme commentaire mais openssl est un espece de programme ‘multi programme ' et vous n’utilisez pas correctement le ‘verb’ en seconde position des paramètres openssl:
Le ‘verb’ en fait c’est le type de job que vous demandez à openssl quand vous lancez la commande, vous pouvez même limite le comparer à un programme autonome plutôt complet, par exemple :
openssl x509 … est le programme pour les certificats x509
openssl ca … est le programme pour les certificats CA
openssl req … est le programme pour les demandes de certificats
openssl s_tunnel… est le programme pour gérer les tunnels TLS…
…
À chaque fois il y a plein d’options disponibles pour chaque ‘verb’ appelé.
Après franchement désolé car en fait pour ce que vous voulez faire, il y a certainement plus lisible ou plus simple comme commande que celles précédemment évoqués, par exemple qqch du type:
Ça vous sortira les certificats de la chaine certification utilisée lors de la transaction TLS jusqu’à une profondeur de 5 intermédiaires.
Ensuite vous récupérez dans l’output le ou les certificats qui vous intéressent afin de les comparer avec les originaux pour vérification avec la commande ‘diff’ et non avec une des option de openssl (comme ça d’après moi on voit mieux ce qu’on fait)
PS:
Si vous utilisez une version d’openssl de plus de 4 ou 5 ans (avant openssl 1.1.1.n), vous deverez peut-être ajouter le paramètre suivant avant ‘-connect’ dans la commande :
“-servername mafreebox.freebox.fr”
Cordialement
nbanba
Bonjour,
C’est vrai qu’openssl est une boîte à outils très riche, un peu comme `imagemagick` dans un autre domaine. Ce n’est pas toujours facile de trouver le bon sous-programme.
Étant sous Debian 12, j’ai mis à jour mes certificats après conversion au format .crt :
```
$ cd /usr/share/ca-certificates/freebox
$ openssl x509 -outform der -in freebox-root-ca.pem -out freebox-root-ca.crt
[…]
$ cat «EOF » /etc/ca-certificates.conf
freebox/freebox-root-ca-chain.crt
freebox/freebox-root-ca.crt
freebox/tvp9ws7n-fbxos-fr-chain.crt
freebox/tvp9ws7n-fbxos-fr.crt
EOF
$ update-ca-certificates
```
Mais la commande proposée ne permet toujours pas d’arriver jusqu’au certificat root :
```
$ echo Q |openssl s_client -showcerts -verify 5 -connect mafreebox.freebox.fr:443
verify depth is 5
CONNECTED(00000003)
depth=1 C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify error:num=2:unable to get issuer certificate
issuer= C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
verify return:1
depth=0 C = FR, CN = tvp9ws7n.fbxos.fr
issuer= C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify return:1
— Certificate chain
0 s:C = FR, CN = tvp9ws7n.fbxos.fr
—–BEGIN CERTIFICATE—– MIICLzCCAbSgAwIBAgIJA/zx9ZsV3Zf7MAoGCCqGSM49BAMCMFkxCzAJBgNVBAYT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—–END CERTIFICATE—– 1 s:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
—–BEGIN CERTIFICATE—– MIICTjCCAdOgAwIBAgICEzcwCgYIKoZIzj0EAwIwYTELMAkGA1UEBhMCRlIxDzAN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—–END CERTIFICATE—– — Server certificate
subject=C = FR, CN = tvp9ws7n.fbxos.fr
issuer=C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
— No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
— SSL handshake has read 1537 bytes and written 406 bytes
Verification error: unable to get issuer certificate
— New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 2 (unable to get issuer certificate)
— DONE
```
J’ai essayé cette commande en précisant le certificat local (au format .pem), mais le résultat reste identique :
```
$ echo Q |openssl s_client -CAfile /usr/share/ca-certificates/freebox/tvp9ws7n-fbxos-fr.pem -showcerts -verify 5 -connect mafreebox.freebox.fr:443
```
UPDATE!
Je n’avais mis que le certificat RSA, j’ai créé un certificat combiné avec RSA+ECDSA et j’obtiens un résultat bien plus satisfaisant :
```
echo Q |openssl s_client -CAfile freebox-root-ca-combined.pem -showcerts -verify 5 -connect mafreebox.freebox.fr:443
verify depth is 5
CONNECTED(00000003)
depth=2 C = FR, ST = France, L = Paris, O = Freebox SA, CN = Freebox ECC Root CA
verify return:1
depth=1 C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
verify return:1
depth=0 C = FR, CN = tvp9ws7n.fbxos.fr
verify return:1
— Certificate chain
0 s:C = FR, CN = tvp9ws7n.fbxos.fr
—–BEGIN CERTIFICATE—– MIICLzCCAbSgAwIBAgIJA/zx9ZsV3Zf7MAoGCCqGSM49BAMCMFkxCzAJBgNVBAYT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—–END CERTIFICATE—– 1 s:C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
—–BEGIN CERTIFICATE—– MIICTjCCAdOgAwIBAgICEzcwCgYIKoZIzj0EAwIwYTELMAkGA1UEBhMCRlIxDzAN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—–END CERTIFICATE—– — Server certificate
subject=C = FR, CN = tvp9ws7n.fbxos.fr
issuer=C = FR, ST = France, O = Freebox SA, CN = Freebox ECC Intermediate CA
— No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
— SSL handshake has read 1537 bytes and written 406 bytes
Verification: OK
— New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
— DONE
```
```
openssl verify -CAfile freebox-root-ca-combined.pem -untrusted freebox-intermediate.pem tvp9ws7n-fbxos-fr.pem
tvp9ws7n-fbxos-fr.pem: OK
```