Echecs de connexion sécurisée à la mare

[visible par les non-inscrits] Astuces, questions et problèmes techniques rencontrés.
Accès rapide : Liaison avec la FGT, Tutoriels techniques, Discussion sur les tutoriels
Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Echecs de connexion sécurisée à la mare

Message par cedricg »

Bonjour,

Je viens de comprendre que Firefox 42 (Linux, mais je pense que ce n'est pas le seul) bloque l'accès au site des tremplins (et donc à cocyclics) parce que le certificat est encore signé avec SHA1. Le message est très perturbant
Échec de la connexion sécurisée

La connexion avec le serveur a été réinitialisée pendant le chargement de la page.

La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues ne peut être vérifiée.
Veuillez contacter les propriétaires du site web pour les informer de ce problème.
on n'en comprend la raison qu'en activant la console du navigateur qui mène à cette page
> https://developer.mozilla.org/en-US/doc ... _Algorithm

Je suis développeur web et administrateur système (quand je ne suis pas dans la Mare), et effectivement les certificats signés SHA1 sont obsolètes, nos autorités de certifications nous ont fait regénérer les certificats en SHA2 (ou SHA256), sans vraiment nous donner le choix. Chrome 47 permet encore l'accès mais une prochaine version devrait suivre la voie. Si je peux aider en quoi que ce soit, n'hésitez pas.
Si vous êtes déjà au courant (probable), désolé d'ajouter du bruit.

Cordialement
Cédric
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par cedricg »

C'est assez perturbant, l'outil suivant me sert de référence, et il ne signale pas d'erreur (même s'il précise bien "Fingerprint SHA1"). Firefox semble avoir pris un peu d'avance...
https://www.ssllabs.com/ssltest/analyze ... inaire.com
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
Alaëlle
Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
Messages : 14984
Enregistré le : mar. déc. 09, 2014 10:44 am
Rang special : Grenouille bienveillante
Localisation : Forestelle, dans un arbral

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Alaëlle »

Salut cedricg !
Moi aussi, j'ai un problème, je ne peux plus me connecter sur mon mac portable via Safari, mais j'y arrive sur un autre ordi fixe plus récent via... Safari. :perplexe: :perplexe: :perplexe:
C'est grave docteur ? :mage: Ça m'ennuie, car je regarde toujours le forum depuis mon portable.
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction

Cycliste et Chocajou, équipe cycle

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par cedricg »

Faut voir les versions de Safari impliquées, les éventuelles erreurs (celles que le logiciel affiche, et peut être celle qu'il n'affiche quand un journal, ou une console qu'il faut aller chercher). Je ne connais pas du tout Safari, mais je pense que d'autres grenouilles pourront aider.
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
Alaëlle
Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
Messages : 14984
Enregistré le : mar. déc. 09, 2014 10:44 am
Rang special : Grenouille bienveillante
Localisation : Forestelle, dans un arbral

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Alaëlle »

Bon, et bien j'ai trouvé la solution : mon homme vient de m'installer Firefox Nightly sur mon ancien mac, et je peux me reconnecter à CoCy ! :yata:

Par contre, ça bug toujours avec Safari. :wamp: (même avec une mise à jour+ redémarrage)
Pour info, le message d'erreur est :
Safari ne parvient pas à ouvrir la page "Tremplins de l'Imaginaire..." car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"
Est-ce que le forum est passé sous une nouvelle version aujourd'hui ? :perplexe:
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction

Cycliste et Chocajou, équipe cycle

Avatar du membre
Kushiel
Grenouille du far Ouest qui terrorise ses personnages et descend les PAL plus vite que son ombre
Messages : 12141
Enregistré le : sam. mai 31, 2014 4:49 pm
Rang special : Grenouille médicastre
Localisation : A l'Ouest

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Kushiel »

Alaëlle a écrit :Bon, et bien j'ai trouvé la solution : mon homme vient de m'installer Firefox Nightly sur mon ancien mac, et je peux me reconnecter à CoCy ! :yata:

Par contre, ça bug toujours avec Safari. :wamp: (même avec une mise à jour+ redémarrage)
Pour info, le message d'erreur est :
Safari ne parvient pas à ouvrir la page "Tremplins de l'Imaginaire..." car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"
Est-ce que le forum est passé sous une nouvelle version aujourd'hui ? :perplexe:
Même problème qu'Alaëlle avec safari :pleure: et même message d'erreur.
Heureusement que j'ai Firefox sur mon mac portable, sinon le sevrage de la mare aurait été rude :psychocoah:
Trilogie Havensele
Nouvelliste chez Etherval, Aventures Oniriques et Compagnie, Gandahar, Géante Rouge

Nés de l'eau in imaginaires d'Asie

Avatar du membre
Alaëlle
Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
Messages : 14984
Enregistré le : mar. déc. 09, 2014 10:44 am
Rang special : Grenouille bienveillante
Localisation : Forestelle, dans un arbral

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Alaëlle »

Kushiel a écrit :Même problème qu'Alaëlle avec safari :pleure: et même message d'erreur.
Heureusement que j'ai Firefox sur mon mac portable, sinon le sevrage de la mare aurait été rude :psychocoah:
Rhaaa pas de chance, Kushiel aussi ! ^^
Et bien on se sent moins seuls tout à coup.
Peut-être qu'en fait, il y a pas mal de personnes qui n'arrivent pas du tout à accéder au forum depuis le début d'après-midi ? :perplexe:
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction

Cycliste et Chocajou, équipe cycle

Avatar du membre
Crazy
Impératrice incontestée du Pareil © Crazy
Messages : 5826
Enregistré le : mer. juin 05, 2013 9:30 pm
Rang special : Chieuse pas tentée
Localisation : IdF
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Crazy »

Perso (FF 42 PC) l'icône de sécurité en haut à gauche a un petit triangle jaune sur le cadenas et me dit que "ce site ne fournit aucune information sur son identité".

Je vois parfois que le triangle a disparu, quand je charge des pages, mais c'est pe un effet de cache.

Avatar du membre
cedricg
Sensei volcanique
Messages : 371
Enregistré le : mer. mars 27, 2013 6:11 pm
Rang special : tapoteur de clavier
Localisation : Chilly-Mazarin
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par cedricg »

Je teste demain, étrange que d'un OS à l'autre ça ne soit pas identique. Dépendance à une librairie sans doute.
Rêve vert, nouvelle qui aura bientôt une V2

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Ivan »

Hey cedricg :)
A priori, ton diagnostic n'est pas bon : le certificat utilisé pour CoCyclics utilise SHA-256, avec une clé RSA 4096 bits en prime, ce qui est largement au-dessus des standards recommandés. Comme tu le pointes, SSLLabs donne une note A+ à CoCyclics, preuve que la configuration est correcte.
Le "Fingerprint SHA1" indiqué sur la page est simplement une empreinte du certificat que nous utilisons, et n'est aucunement lié au chiffrement des communications (Signature algorithm: SHA256withRSA, confirmé par SSLLabs). C'est juste un moyen rapide de confirmer que tu vois bien le même certificat que leur outil.

Pour m'aider à débugger ce problème, je veux bien avoir les informations suivantes pour toutes les personnes affectées :
  • Est-ce que le bug est apparu récemment (aujourd'hui) ou se produit-il depuis plus longtemps ?
  • Si c'est dans vos cordes, pouvez-vous me copier le certificat SSL que vous obtenez ? Sur Safari, je ne saurais pas donner d'instructions précises, malheureusement...
  • Les gens sous Safari, je suis intéressé par un message d'erreur plus détaillé si jamais le navigateur donne une option de type "plus d'informations". Dans le cas contraire, la version de Safari serait déjà utile : je sais que les versions plus anciennes (par exemple Safari 6.0.4 sous OSX Mountain Lion) n'ont pas d'algorithmes cryptographiques suffisamment récents pour que le forum accepte de leur parler.
Potentiellement, je suspecte que le problème de Crazy soit distinct : si Firefox t'indique que "ce site ne fournit aucune information sur son identité" alors que tu te connectes à CoCyclics en HTTPS, c'est qu'il y a potentiellement quelque chose sur ton réseau / ordinateur qui bloque les connexions sécurisées. Ça peut être un antivirus ou un proxy d'entreprise. A l'heure actuelle, il est impossible de se connecter au forum de manière non-sécurisée, donc il y a forcément quelque chose qui intercepte ton trafic.

Pour résumer :
Cedricg → Pas d'idée pour le moment, mais je veux bien voir le certificat SSL que ton navigateur reçoit. J'utilise moi-même Firefox 45 sous Debian et je n'ai pas rencontré le problème.
Les gens sous Mac → Vérifier la version de Safari, et si elle est trop vieille, mettre Safari et/ou OSX à jour ou télécharger un navigateur plus récent comme Firefox).
Crazy → Vérifier qu'il n'y a rien sur le réseau ni ta machine qui intercepte et modifie les connexions SSL. Comparer les certificats obtenus sur deux machines différentes (qui se connectent depuis deux réseaux différents idéalement).

Voila pour ma première analyse !
Sincèrement,
Ivan

Avatar du membre
Kushiel
Grenouille du far Ouest qui terrorise ses personnages et descend les PAL plus vite que son ombre
Messages : 12141
Enregistré le : sam. mai 31, 2014 4:49 pm
Rang special : Grenouille médicastre
Localisation : A l'Ouest

Re: Echecs de connexion sécurisée à la mare

Message par Kushiel »

Merci Ivan pour ton aide ! :love: J'avoue ne pas tout comprendre à ce que tu as écris, mais je suis d'une ignorance crasse en informatique :rougit:
Pour répondre à tes questions :
- Le bug est très récent : vendredi 4 décembre dans l'AM
- Ma version de Safari est 6.1.6 (7537.78.2) : généralement je fais les mises à jour proposées régulièrement par mon Mac
- Je suis sous Mac OS X version 10.7.5
-Le message d'erreur qui s'affiche lorsque j'essaie de me connecter à la mare est :" Safari ne parvient pas à ouvrir la page "https://tremplinsdelimaginaire.com/cocy ... =egosearch" car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"

Penses-tu avoir une solution ? Je préfère utiliser Safari que Firefox, mais bon, ce n'est pas capital :D
Trilogie Havensele
Nouvelliste chez Etherval, Aventures Oniriques et Compagnie, Gandahar, Géante Rouge

Nés de l'eau in imaginaires d'Asie

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Ivan »

D'après Wikipedia, la version 10.7.5 de Mac OS X est sortie en octobre 2012 et n'est plus supportée (= ne reçoit plus de mises à jour) depuis plus d'un an. Donc si je devais parier, je dirais que le souci vient effectivement de Safari qui est trop vieux (on en est à la version 9 apparemment).
Si tu tiens à rester sous Safari, il va donc falloir trouver un moyen de le mettre à jour (n'ayant pas de Mac, je ne pourrai être d'aucune aide pour la suite).
Sincèrement,
Ivan

Avatar du membre
Kushiel
Grenouille du far Ouest qui terrorise ses personnages et descend les PAL plus vite que son ombre
Messages : 12141
Enregistré le : sam. mai 31, 2014 4:49 pm
Rang special : Grenouille médicastre
Localisation : A l'Ouest

Re: Echecs de connexion sécurisée à la mare

Message par Kushiel »

Ivan a écrit :D'après Wikipedia, la version 10.7.5 de Mac OS X est sortie en octobre 2012 et n'est plus supportée (= ne reçoit plus de mises à jour) depuis plus d'un an. Donc si je devais parier, je dirais que le souci vient effectivement de Safari qui est trop vieux (on en est à la version 9 apparemment).
Si tu tiens à rester sous Safari, il va donc falloir trouver un moyen de le mettre à jour (n'ayant pas de Mac, je ne pourrai être d'aucune aide pour la suite).
Merci Ivan ! :pompom: Je vais chercher des versions plus récentes de Safari dans ce cas.
Trilogie Havensele
Nouvelliste chez Etherval, Aventures Oniriques et Compagnie, Gandahar, Géante Rouge

Nés de l'eau in imaginaires d'Asie

Avatar du membre
Crazy
Impératrice incontestée du Pareil © Crazy
Messages : 5826
Enregistré le : mer. juin 05, 2013 9:30 pm
Rang special : Chieuse pas tentée
Localisation : IdF
Contact :

Re: Problème d'accès à la mare avec Firefox 42 (certificat SHA1)

Message par Crazy »

Ivan a écrit :Potentiellement, je suspecte que le problème de Crazy soit distinct : si Firefox t'indique que "ce site ne fournit aucune information sur son identité" alors que tu te connectes à CoCyclics en HTTPS, c'est qu'il y a potentiellement quelque chose sur ton réseau / ordinateur qui bloque les connexions sécurisées. Ça peut être un antivirus ou un proxy d'entreprise. A l'heure actuelle, il est impossible de se connecter au forum de manière non-sécurisée, donc il y a forcément quelque chose qui intercepte ton trafic.
Ok, je vais regarder ça.
Mais il me dit bien que je suis en https, pourtant :perplexe:

Avatar du membre
Ivan
Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
Messages : 803
Enregistré le : mer. oct. 24, 2012 6:39 pm
Rang special : Gestalt, parce que je le vaux bien
Contact :

Re: Echecs de connexion sécurisée à la mare

Message par Ivan »

Je ne doute pas que tu sois connectée en HTTPS - ta connexion est vraisemblablement chiffrée, mais c'est l'authentification qui soulève des questions ici. Autrement dit, je suspecte que quelque chose sur ton réseau ou ta machine remplace le certificat de CoCyclics par un autre.

Pour mémoire, l'empreinte de notre certificat (au 5/12/2015) est la suivante :

Code : Tout sélectionner

9D:66:77:2D:A6:A9:3A:28:CF:5F:D0:34:3F:AC:81:6B:45:EA:C8:C8

...et il est signé par COMODO pour encore quelques semaines.
Sincèrement,
Ivan

Répondre