internet & fixe ma connexion

Voir tous les sujets internet & fixe

UP !

J'ai le même problème :
Je suis sous mac os X (mais même problème depuis le boulot en windows)
Livebox 4 - Abo Fibre play

J'ai bien activé le contrôle à distance sur la box, ça "marche" en local (normal)
Mais quand j'attaque mon URL depuis l'extérieur (4G sur smartphone ou depuis travail), le navigateur m'indique que le serveur rejette MON certificat (et pas celui de la box) (Et ça c'est dommage puisque le but c'est de le contrôle à DISTANCE !)

En effet quand j'accède à l'url, il me demande de choisir une certificat dans une liste (1 ou plusieurs selon si c'est depuis le mac via 4G ou depuis chrome au boulot)


Puis voici le message d'erreur :
------------------------------------
Ce site ne peut pas fournir de connexion sécurisée
90.xxx.xxx.xxx n'a pas accepté votre certificat de connexion, ou vous ne l'avez pas fourni.

Essayez de contacter l'administrateur système.
ERR_BAD_SSL_CLIENT_AUTH_CERT
------------------------------------


J'ai juste masqué mon IP mais sinon voilà ce que je reçois comme message.
Le problème n'est donc pas des identifiants puisque je n'ai meme pas la mire de connexion ! (comme il est suggéré dans d'autres sujets du forum)

Merci d'avance pour votre aide

Bonjour TrollSpirit

Ce message d'erreur est inévitable !

Un certificat SSL est impérativement lié à l'URL du serveur qu'il va servbir à identifier. A quoi servirait SSL s'il ne permettait pas de s'assurer que le site qui prétend être ta banque est bien ta banque !

Malheureusement une box ne peut pas connaitre à l'avance l'url qui sera la sienne.

Tous les certificats autosignés fabriqués dynamiquement par un appareil réseau pour les authentifier sont nécessairement incomplets.

Le message d'erreur de ton navigateur est donc logique.

Dans ton navigateur le message devrait être accompagné de boutons du genre :
"en savoir plus", "accepter l'erreur", "installer le certificat", ....

Utilise les boutons proposés pour installer le certificat.

La box n'a pas la capacité d'en demander un à Verisn ou autre à chaque fois que tu configures l'accès à distance.

Attention dans le futur :

Si tu reconfigures le paramétrage  (suite à un oubli du  mot de passe, par exemple) de l'accès à distance, alors la box va générer un nouveau certificat.

A la connexion suivante tu auras un autre message d'erreur parce que ton navigateur attendra un certificat et il en verra un autre, il pourrait s'imaginer qu'il est face à un site contrefait.

Safari n'est pas ce qui se fait de mieux, mais il fonctionne, si ça t'arrivait, supprime le certificat et ré-essaye, tu devras alors enregistrer le nouveau certificat.

Cordialement

PhilDur

Bon j'ai quelques éléments de réponse

En fouillant encore, et encore, j'ai finalement "réussi" à résoudre contourner le problème.

Apparemment il y a 2 problèmes bien distincts :

- L'accès a distance via Safari sur Mac

- L'accès via Chrome - Windows au bureau, qui passe par un proxy et qui a des règles strictes de séucrité

J'arrive à me connecter à l'administration via Chrome sur iPhone en 4G. (Un collègue aussi sur Android)

Si je ne pense pas pouvoir résoudre ce problème de si tôt au bureau (politique de sécurité stricte), il y a peut être des choses à faire sur Safari.

A voir si ça fonctionne bien par exemple avec Chrome sur macOS

Bonjour Phildur

Personnellement je connais bien les problèmes liés aux certificats.

Mais il se trouve que sur Safari (et anecdotiquement sur mon poste au travail) il ne soit pas possible d'outre-passer l'exception de sécurité (ce que j'ai pu faire avec Chrome sur iOS).

Le vrai probème vient du navigateur. En le changeant visiblement, le problème est contourné, mais il semble bien y avoir un problème compatibilité avec Safari pour ce cas précis

---

sebsotien a écrit :...Personnellement je connais bien les problèmes liés aux certificats.

Mais il se trouve que sur Safari (et anecdotiquement sur mon poste au travail) il ne soit pas possible d'outre-passer l'exception de sécurité (ce que j'ai pu faire avec Chrome sur iOS).

---

Dommage que je ne puisse installer Safari sous Windows 10 ;-)

Je sais qu'Apple n'est plus en pointe sur l'informatique, mais là, j'ai des doutes. Safari doit être capable d'accepter un certificat autosigné invérifiable.

C'est alors la responsabilité de l'utilisateur qui est impliquée.

Pour le poste de travail, c'est normal ; j'ai été admin bureautique et je n'aurais pas aimé, pas du tout !

Cordialement

PhilDur

Bonjour,

j'ai le meme probleme: en acces à distance, la livebox presente un certificat serveur non-reconnu par le brownser. Normal, ca je maitrise. Par contre le probleme vient du certificat CLIENT. Il semble que la livebox soit configureee avec du SSL v3 AVEC authentification client. Donc le navigateur demande de selectionner un certificat client 'trusté' par la box. Hors, on n'en a pas !

donc seul choix possibles:

1- on choisi n'importe  quel certif client avec le key usage de 'client auth'... la livebox refuse le certif car elle ne peut pas verifier ce certif

2- on click sur 'cancel' et là, ben on ne peut se connetcer à la box car elle reclame un certif client

--> rien à voir avec le certif serveur !

Par contre, chose 'etrange', parfois (oui, pas toujours!) je click sur cancel, fait qq refresh... et miracle, la mire de login de la box s'affiche...

---> il y a un pb d'implem du protocole d'auth client dans la box!

Je ne vais pas me rendre fou à sniffer les paquets de handshake (puis apres l'auth serveur j'aurais à tout decrypter...) mais il faut reconnaitre qu'il y a un pb. Certains navigateurs doivent etre plus permissifs que d'autre. J'ai essayé avec Chome sur PC.

Je precise que je ne passe pas par un DNS mais direct addresse IP externe de la box.

D'autre part, si la box ne peut en effet avoir un certif correspondant au nom DNS ou à l'IP alors cela ne devrait pas poser un pb... la bonne pratique n'est jamais de truster un certif de serveur, mais le certificat emeteur de ce certificate serveur... le ROOT certif... dnas notre cas, la box a un certif emis par un sub CA 'orange... ' qui lui meme est emis par l'autorité de certification (CA) root: 'orange CA...'.

Si on trust le root alors, pas besoin de truster les autres certificats de la chaines: ils le seront automatiquement.

Reste à trouver ce root... je vais chercher.

En tous cas, le certif de ma livebox n'est pas auto-signé!

Je confirme qu'avec Firefox, le probleme de certificat client n'est pas present.

L'ideal serait quand meme d'avoir le certificat root d'orange afin de le mettre dans le trust store

---

@tt22  a écrit :

Je confirme qu'avec Firefox, le probleme de certificat client n'est pas present.

L'ideal serait quand meme d'avoir le certificat root d'orange afin de le mettre dans le trust store

---

Non !  Non ! et Non !

La box ne peut pas te fournir autre chose qu'un certificat autosigné, il est autosigné parce que créé dans la box.

Le navigateur, même Firefox le détecte et attire ton attention.

Firefox ne pose plus de question une fois le dit certificat approuvé, et il n'acceptera pas d'autre connexion sur une autre box sans t'avertir de nouveau. Si tu supprimes l'exception, immédiatement Firefox réagit de nouveau.

Tu dois vérifier que ta connexion est bien réalisée sur la bonne adresse, si c'est le cas tu acceptes le certificat proposé.

Le certificat root d'Orange, et puis quoi d'autre encore ?

Ce certificat permettrait ensuite à n'importe qui de se faire passer pour Orange.

Et tu aurais toujours, même avec le certificat root un problème d'identification, lié à l'adresse de la box.

Un certificat n'est valable que pour un site, or toutes les box d'Orange ont des adresses différentes.

Elles présentes toutes une occurrence du même certificat.

Cordialement

PhilDur

Bonjour PhilDur,

Je ne suis absolument pas d'accord avec toi sur le certificat ROOT et le fait que le certificat de la box est auto signé.

Si je fais un dump du certificat envoyé par ma box, alors on voit qu l'emeteur (issuer) de ce dit certificat n'a pas comme DN (distinguished name) le meme que le DN du sujet (Subject). L'issuer est pas non plus un certificat autosigné pour la meme raison. Il est généré et signé par un certificat root qui lui est autosigné.

Si tu parse l'ASN.1 de ton certificat de livebox tu peux aussi comparé le subjectKeyIdentifier et le issuerKeyIdentifier: ils sont different. Cela veut dire que la clef du 'subject' (de ta livebox) n'est pas la même que la clef de l'autorité qui a emis le certificat de ta livebox: il n'est donc pas autosigné.

De plus, un certificat qui signe d'autres certificats (par exemple une CA- certification authirity, ou un certificat auto-signé, (dés lors qu'on ne parle pas de la tres obsolete du standard X509 v1) doit avoir la 'basicConstraint' CA mise à 'VRAI', ce qui n'est pas le cas du certificat de ma livelbox.

Enfin, le keyUsage d'une autorite de certification (qui signe donc des certificats, et donc un certificat autosigné) doit avoir comme 'keyUsage': "Certificate Signing, CRL Signing". Ce n'est encore pas le cas du certificat e ma livebox.

Par exemple le certificat de ma livebox a pour DN du subject (de ma livebox donc) (j'ai volontairement changé qq caracteres par des xxx)

CN = xxxx-Livebox 4-xxxxx
O = Orange
C = FR

et comme DN de l'issuer (l'emmeteur du certif de ma livebox)

CN = Orange Devices Auth MIB4 RGW CA
O = Orange
C = FR

Ce certificat a pour subjectDN:

CN = Orange Devices Auth MIB4 RGW CA
O = Orange
C = FR

et pour issuerDN

CN = Orange Devices Root CA
OU = 0002 380129866
O = Orange
C = FR

et je n'ai pas le certificat root d'orange donc je ne peut pas le parser. Par contre on peut donner la chaine de certificat:

Orange Devices Root CA signe le certificat CA de Orange Devices Auth MIB4 RGW CA qui à son tour signe le certificat de ma livebox: xxxx-Livebox 4-xxxxx

Le principe de chaine de certification repose justement sur le fait qu'on ne 'trust' pas un certificat 'final' mais un certificate de CA (Une autorité de certification). En 'trustant' un certificat CA (root ou intermediaire) on 'trust' tous les certificats emis par cette CA (sauf si révoqués dans une CRL ou par verification OCSP évidement).

L'etat de l'art est donc de ne pas 'truster' un certificat final, mais un certificat de CA.

Autre exemple: va sur www.google.com, en HTTPS. Tu verra que le certificat est emis pour le compte de *.google.com et qu'il est emis par une CA intermediaire:

CN = GTS CA 1O1
O = Google Trust Services
C = US

lui même émis par la CA root:

CN = GlobalSign
O = GlobalSign
OU = GlobalSign Root CA - R2

donc la chaine de certification est:

GlobalSign Root CA signe GTS CA 1O1 qui signe à son tour *.google.com

Tu peux aller voir dans ton truststore que le certificat final du site google (subject = *.google.com) n'y figure pas: donc tu ne le trust pas. Tu n'as meme pas le certificat de la CA intermediaire: GTS CA 1O1

Par contre, tu y trouvera le certificat de la CA root: GlobalSign.

Et cela est normal: tu trust un certificat de CA et de ce fait tu trust toute la chaine descendante des certificats: c'est cela l'histoire du tier de confiance.

Au final: il faudrait avoir le certificat de la CA (l'intermeediaire ou la root) dans le truststore et là, bngo, on trust tous les certificats emis par cette chaine de certification.

Pourquoi ne pas truster le certificat de la livebox ou n'importe quel certificat final: et bien parceque il est bcp plus difficile de 'casser/hacker' une CA qu'un certificat final: en effet la paire de clef RSA/ECC d'un 'PC' est generee et stpckee le plus souvent dans l'OS... en soft tandis qu'une CA repose sur des mechanismes de crypto et des 'HSM' (Hardware Security Modules) qui sont des coffres forts hardware qui generent et stockent des clefs crytpo et sont certifies (FIPS etc) donc uand meme plus 'securisé' que n'importe quel OS classique vu que c'est fait pour. En plus, une CA root est le plus souvent 'offline' donc avant de l'attaquer à distance..; y'a du taff

Tu as tout faux en disant que 'si j'ai le certif root d'orange n'importe qui pourrait se faire passer pour orange': Je suis desole mais cela demontre une total incoprehension des notions de cryptographie à clef privée: pour s'authetifier, le détenteur du certificat presente son certificat qui contient une clef publique: un certificat est une donee publique. L'autre entite qui veut authentifier lui donne une donnée à signer. La signature est faite avec une autre clef: privee, que seul le detenteur du certificat doit avoir. elle n'est PAS dans le certificat evidemment...

une fois la signature calculee, la verification se fait en utilisant la clef publique qui est dans le certificat. si ca marche alors l'authentification est ok. MAIS il faut 'truster' par le trust de la chaine de certification le certificat présenté.

D'ailleurs, reprend mon exemple de google.com, et tu verra que tu peux telecharger tous les certificats de la chaine de certification..; jusqu'au root. :click sur le petit icone a cote de l'url, affiche le certificat, et remonte la chaine de certificat... tu auras l'option de telecharge le certificat root car la chaine complete est fournie par le serveur. Ce n'est pas le car de la livebox car elle n'envoie pas le certificat root.

(en passant, un peu de lecture : utilisation d'OpenSSL pour telecharger la chaine de certif d'un serveur: https://www.avisi.nl/blog/2012/09/12/quick-way-to-retrieve-a-chain-of-ssl-certificates-from-a-server)

J'espere avoir ete clair dans mes explications,

bonne journee