Echecs de connexion sécurisée à la mare

[visible par les non-inscrits] Astuces, questions et problèmes techniques rencontrés.
Accès rapide : Liaison avec la FGT, Tutoriels techniques, Discussion sur les tutoriels
Avatar du membre
Crazy
Impératrice incontestée du Pareil © Crazy
Messages : 5826
Enregistré le : mer. juin 05, 2013 9:30 pm
Rang special : Chieuse pas tentée
Localisation : IdF
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Crazy »

J'ai mis à jour Avast et le pb s'est déplacé : la racine du forum a un beau cadenas vert, mais certaines autres pages, non (pe un pb de cache).

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Ivan »

Crazy a écrit :(pe un pb de cache).
Allons, allons, trêve de spéculations.
Si le cadenas n'est pas vert, clique dessus et le navigateur te donnera plus d'informations sur l'erreur. En toute vraisemblance, si ça varie suivant les pages, je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Sincèrement,
Ivan

Avatar du membre
Crazy
Impératrice incontestée du Pareil © Crazy
Messages : 5826
Enregistré le : mer. juin 05, 2013 9:30 pm
Rang special : Chieuse pas tentée
Localisation : IdF
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Crazy »

Ivan a écrit :je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Ah, c'pas faux, je te confirme ça dès que je retombe sur un triangle :)

Avatar du membre
Alaëlle
Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
Messages : 14984
Enregistré le : mar. déc. 09, 2014 10:44 am
Rang special : Grenouille bienveillante
Localisation : Forestelle, dans un arbral

Re: Echecs de connexion sécurisée à la mare

Message par Alaëlle »

Merci Yvan pour ces éclaircissements... :wow:
Je vais répondre à quelques questions (mais ça rejoindra pas mal ce que dit Kushiel) :
- Pour le bug, c'est apparu vendredi en tout début d'après-midi, vers 13h30, je dirais.
- Je suis sous Mac OS X 10.6.8 et nous ne pouvons le basculer dans le dernier système Mac (trop vieux :ronge: ).
- Ma version de Safari est 5.1.10, et je mets à jour de temps en temps. Là, je n'ai pas l'impression que je peux avoir plus récent par rapport à mon Mac. Je vais checker ça avec mon mari.
- Le message d'erreur affiché sous Safari :" Safari ne parvient pas à ouvrir la page "ucp.php?mode=login" car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"
Voili Voilou. Rien n'a changé vendredi par rapport au forum ? :perplexe: Pas de nouveautés, de MAJ ? Sinon ce serait plus du côté de Safari ?
Bon week-end à tous...
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction

Cycliste et Chocajou, équipe cycle

Avatar du membre
Crazy
Impératrice incontestée du Pareil © Crazy
Messages : 5826
Enregistré le : mer. juin 05, 2013 9:30 pm
Rang special : Chieuse pas tentée
Localisation : IdF
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Crazy »

Ivan a écrit :je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Confirmé : toi et moi avons des avatars stockés sur place => ok, mais pas Alaëlle, du coup la page est passée du vert au jaune :)

Avatar du membre
LaPlume
LaPlume est plus fort(e) que l'épée
Messages : 1129
Enregistré le : dim. sept. 04, 2011 3:28 pm
Rang special : Trinque avec (la) Modération :)

Re: Echecs de connexion sécurisée à la mare

Message par LaPlume »

J'ai le même soucis, avec deux cas différents sur la même connexion (je m'en suis rendu compte aujourd'hui, après 13h) :

1er cas : via une tablette samsung (OS android je crois) avec Opera v11 et le navigateur internet natif de la tablette
Message d'erreur : "Impossible d'achever la transaction sécurisée"

2nd cas : via l'ordinateur PC windows 8.1 navigateur firefox v42 : je peux accéder au site de tremplins et cocyclics (à l'évidence :p) mais la connexion est parfois sécurisée (cadenas vert) et parfois non (cadenas fermée avec message d'alerte orange/jaune).

Dans ce dernier cas, voici quelques informations du certificat SSL :
Spoiler: montrer
Algorithme de signature : PKCS #1 SHA-256 avec chiffrement RSA
Empruntes numériques : SHA-256 et SHA1
Organisation : COMODO
Actualité du moment

Tout est en pause car bien occupé à la maison avec mini-têtard!

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Ivan »

Bon, la situation commence à s'éclaircir un peu.

Alaëlle : Même problème que Kushiel du coup, la version de Safari est trop vieille. Si jamais il n'est pas possible de la mettre à jour, tu as toujours l'option d'utiliser un autre navigateur (Firefox ou Chrome) qui n'aura aucune difficulté à se connecter à CoCyclics.
Crazy : Je considère ce problème résolu donc. Forcer tout le monde à utiliser des avatars stockés sur des sites sécurisés me paraît être une entreprise sisyphéenne ; tant que les mots de passe de tout le monde sont protégés, j'estime que l'essentiel est fait.
LaPlume : Pour la tablette, je vois qu'Opera 11 est sorti en mai 2012 : on est dans le même cas que Safari 6 : le navigateur est trop vieux et n'est plus supporté sur la mare. Je t'invite à le mettre à jour le navigateur via le Play Store, ou à en adopter un autre si nécessaire. Pour le PC, le message d'alerte est vraisemblablement le même que celui de Crazy donc on peut l'ignorer. Si tu veux plus d'informations sur cette erreur, il suffit de cliquer sur le triangle, mais dans tous les cas le certificat SSL que tu reçois est bien le nôtre.

Pour ceux que ça intéresse, je donne un peu de contexte sur la fin du support des vieux navigateurs ci-dessous.
Vendredi, j'ai procédé à une mise à jour globale de l'ensemble des sites que j'administre sur le plan des connexions sécurisées. En particulier, j'ai updaté la liste des algorithmes cryptographiques que notre serveur acceptera d'utiliser, conformément aux dernières recommandations dans le domaine. Pour faire simple, quand un navigateur et un site veulent se parler de manière chiffrée, ils commencent par se mettre d'accord sur quel algorithme ils vont utiliser. Le "serveur" (celui à qui on se connecte) envoie la liste des siens, le "client" (celui qui se connecte) en choisit un qu'il sait utiliser, et la magie des mathématiques fait le reste.
Sans ce protocole, les algorithmes cryptographiques utilisés seraient figés dans le marbre, et il ne serait pas possible d'en ajouter et/ou d'en enlever au fil du temps. Et ce serait un problème, parce qu'au fil des années, les "vieux" algorithmes deviennent de moins en moins sûrs (parce que la puissance des ordinateurs augmente pour casser le chiffrement, parce qu'on découvre des failles dans le protocole, etc...). Ce qui s'est passé vendredi, c'est que certains "vieux" algorithmes ont justement été retirés des options proposées par le serveur de CoCyclics, et que suite à cela, les navigateurs de certains d'entre vous n'en ont plus aucun en commun avec la machine qui héberge la mare. D'où "l'échec" de la connexion sécurisée : le "client" et le "serveur" n'arrivent plus à se parler.

Je suis conscient du fait que ça peut être irritant pour ceux d'entre vous qui ont maintenant des problèmes pour se connecter, cependant retirer les algorithmes cryptographiques faibles est nécessaire pour la sécurité de tous dans la mare. En effet, rien n'oblige les navigateurs les plus à jour de choisir le pire algorithme disponible quand ils viennent sur CoCyclics, et il y a d'ailleurs des attaques dont l'objectif est de forcer un ordinateur à choisir un mauvais protocole de chiffrement (même quand des bons sont proposés). A ce titre, il est donc nécessaire que le "pire" que nous proposions offre malgré tout des garanties fortes de sécurité - et des garanties fortes pour 2015, pas pour 2012.
Pour résumer, toutes mes excuses à ceux à qui ça pose des soucis, mais c'est pour le bien commun. Et une partie de moi ne peut s'empêcher de penser que si la mesure vous oblige à quitter un navigateur qui n'est plus mis à jour depuis 3+ ans, avec tout ce que ça implique en bugs et failles de sécurité non corrigés, vous en serez au final les plus grands gagnants.
Sincèrement,
Ivan

Avatar du membre
Alaëlle
Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
Messages : 14984
Enregistré le : mar. déc. 09, 2014 10:44 am
Rang special : Grenouille bienveillante
Localisation : Forestelle, dans un arbral

Re: Echecs de connexion sécurisée à la mare

Message par Alaëlle »

OK Ivan, tout s'explique ! :ampoule: Le tout, c'est de comprendre ce qui se passe, et je suis rassurée, j'ai compris. :hihihi:
Merci pour tout ce que tu fais dans l'ombre pour nous, pauvres grenouilles qui pataugeons dans les brouillards de la mare.
Bon week-end ! :pompom:
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction

Cycliste et Chocajou, équipe cycle

Llyana
Space Invader ou Space Opéra ?
Messages : 615
Enregistré le : mer. juin 18, 2014 12:12 pm
Rang special : Petit Pixel
Localisation : Ouest parisien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Llyana »

C'est une très bonne chose de mettre à jour les protocoles de chiffrement (vu le bazar qu'on a en ce moment au boulot je ne peux qu'approuver ce genre de démarche).
Bon, maintenant mon téléphone Android ne veut plus se connecter, mais je devrais bien pouvoir télécharger Opera ou FF ;)
***Passage ninja***

Avatar du membre
LaPlume
LaPlume est plus fort(e) que l'épée
Messages : 1129
Enregistré le : dim. sept. 04, 2011 3:28 pm
Rang special : Trinque avec (la) Modération :)

Re: Echecs de connexion sécurisée à la mare

Message par LaPlume »

Ivan a écrit : LaPlume : Pour la tablette, je vois qu'Opera 11 est sorti en mai 2012 : on est dans le même cas que Safari 6 : le navigateur est trop vieux et n'est plus supporté sur la mare. Je t'invite à le mettre à jour le navigateur via le Play Store, ou à en adopter un autre si nécessaire. Pour le PC, le message d'alerte est vraisemblablement le même que celui de Crazy donc on peut l'ignorer. Si tu veux plus d'informations sur cette erreur, il suffit de cliquer sur le triangle, mais dans tous les cas le certificat SSL que tu reçois est bien le nôtre.
En fait mon navigateur c'est "Opera Mini", dont la dernière maj datait de septembre ^^ j'ai updaté sur la v12 mais ça n'a rien changé, je me suis donc résolu à passer sur firefox mobile qui est très bien et en fait ça fonctionne sans soucis.

Tes explications sont très claires et c'est intéressant de comprendre le pourquoi du comment derrière cet aspect de sécurité. Merci en tout cas.

C'est tout pour moi ;)
Actualité du moment

Tout est en pause car bien occupé à la maison avec mini-têtard!

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par cedricg »

J'ai bien cette empreinte sous Chrome, mais FF refuse juste de montrer quoi que ce soit. Il considère la connexion non chiffrée, et je me suis laissé emporté par l'analyse que le logiciel donne sans l'analyser.
Je pense que c'est en fait un défaut de cette version de FF, je ne trouve de trace nulle part ailleurs, c'est curieux.

En utilisant la console, je pense que FF ne reçoit rien (ou n'analyse pas ce qu'il reçoit). En tout cas il ne log aucune réponse du serveur. Et il termine avec
18:13:10,086 NS_ERROR_NOT_AVAILABLE: 1 about:neterror:59:0
Le fait qu'un vieux Safari ait également un problème laisse penser qu'on est tombé sur un petit bug. Passer en safe mode ne change rien.

Si sur Debian avec la même version (la 42 étant la plus récente) tu n'as pas le même soucis, le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple) utilisées, je vais poser la question à des confrères.
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par cedricg »

Éventuellement, Ivan, si tu peux me confier la configuration du serveur web, je peux tenter de reproduire pour voir si j'isole un problème quelconque. Ca fait partie de mon job actuel.
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
Amaryan
Messages : 1414
Enregistré le : sam. mars 01, 2014 7:37 pm
Rang special : Petite baleine
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Amaryan »

Ah, ça y est j'ai donc l'explication ! :) J'utilise Opera 12 comme navigateur de base et depuis vendredi je ne peux plus me connecter à Cocy via ce navigateur, mais j'y arrive avec firefox (sur pc). C'est donc dû à ta mise à jour Ivan, mais bon j'étais pas vraiment inquiète vu comme Opera est obsolète, je me doutais que c'était la cause du problème... :mouahaha:

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Ivan »

cedricg a écrit :Le fait qu'un vieux Safari ait également un problème laisse penser qu'on est tombé sur un petit bug. Passer en safe mode ne change rien.

Si sur Debian avec la même version (la 42 étant la plus récente) tu n'as pas le même soucis, le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple) utilisées, je vais poser la question à des confrères.
Tu n'as pas dû lire mes derniers posts avec suffisamment d'attention : Safari n'a PAS le même comportement. Il échoue à établir une connexion avec ce qui serait une erreur SSL_ERROR_NO_CIPHER_OVERLAP sous Firefox.

D'autre part, si je dis que j'ai la version 45 de Firefox, c'est que j'ai la version 45. J'utilise les builds "nightlies".
cedricg a écrit :le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple)
A priori, ce n'est pas le bon diagnostic non plus. A ma connaissance, Firefox n'utilise aucune de ces bibliothèques, mais embarque la sienne (libNSS) pour tout ce qui a trait au chiffrement. Après, si tu penses quand même que ça vient d'OpenSSL, c'est quelque chose qui se vérifie facilement avec la commande suivante :

Code : Tout sélectionner

openssl s_client -connect tremplinsdelimaginaire.com:443 -showcerts
Si tu veux reproduire le problème en local, voici le passage pertinent de notre configuration nginx :
Spoiler: montrer

Code : Tout sélectionner

	ssl_session_timeout		1d;
	ssl_session_cache		shared:SSL:50m;
	ssl_protocols			TLSv1.1 TLSv1.2;
	ssl_ciphers			'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
	ssl_prefer_server_ciphers	on;
	ssl_dhparam			/etc/nginx/dhparam.pem;  # regénéré par mes soins avec openssl dhparam -out /etc/nginx/dhparams.pem 2048
	add_header			Strict-Transport-Security max-age=15768000;
Sincèrement,
Ivan

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par cedricg »

Ok, problème trouvé finalement, en lançant un profil "neuf" sous Firefox ça marche, donc je dois avoir un soucis dans les banques de certificats, un truc dans le genre. Le plus curieux est que le problème est le même sur trois PC différents, installés de différentes manières... J'ajoute ce cas étrange à ma bibliothèque. Je vais quand même en profiter pour apprendre Nginx au passage.
Rêve vert, nouvelle qui aura bientôt une V2

Répondre