Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe mon mail Orange

L'identification sur le serveur serveur pop3 d'Orange a échoué.

KaLisBlack
contributeur occasionnel
3 770  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

@verdy_pje ne comprends pas comment tu obtiens ces résultats avec openssl car moi j'ai ça:

 

Server certificate
subject=/C=FR/L=Paris/O=Orange/OU=Orange France/CN=pop.orange.fr
issuer=/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3303 bytes and written 453 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1526588392
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)

verdy_p
contributeur confirmé
contributeur confirmé
3 750  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Donc tu as aussi un problème (erreur openssl 20 chez toi).

 

Sur Linux j'ai essayé plusieurs fois la commande openssl s_client -showcerts -connect pop.orange.fr:995 

et à chaque fois j'ai eu une renégociation différente avec plusieurs combinaisons d'algos.

 

La négociation de protocole me semble complètement "foireuse" et très instable.

 

A mon avis l'installation d'OPENSSL sur les serveurs "pop.orange.fr" est mal faite ou tous les hôtes (sur la dizaine d'adresses IP proposées) ne sont pas tous au même niveau de mise à jour ou n'ont pas tous les bons certificats installés. Les serveurs doivent avoir un gros problème de mise à jour système Unix/Linux (bien que je pense qu'ici chez Orange ce sont peut-être des serveurs sous Windows dans une VM sous Hyper-V ou VMware).

Peut-être qu'Orange a oublié des mises à jour Windows (dont celles du mois dernier concernant les mies à jour des certificats Root CA) ou oublié de remettre les derniers certificats publiés par Digicert avant de générer leurs clés et ensuite a installé sur les serveurs de mauvaises versions mal construites et mal testées des certificats qu'il ont demandé à Digicert de signer, ou signées par Digicert il y a 2 ou 4 ans avant la transition de mars.

 

 

Note: tu ne devrais pas montrer publiquement la valeur de ton "Session-ID" si tu ne veux pas te faire pirater ton courrier par une attaque de replay sur TA session.

 

Normalement on devrait voir au début de la commande openssl 3 lignes (je simplifie):

depth=2... (digicert.com) Global Root CA avec "return:1"

depth=1... Digicert SHA2 Secure Server CA avec "return:1"

depth=0... pop.orange.fr avec "return:1"

 

mais actuellement les certificats ont des lignes avec "return:0" (non vérifié)

 

Ensuite on doit voir un dump binaire des 2 certificats premiers signés (Root CA, et Server CA).

puis enfin les lignes détaillées concernant le pop.orange mentionnant la négociation, et l'algo d'empreinte qui devrait être SHA256, et une empreinte serveur tremporaire (pour la session) avec ECDH sur 256 bits

 

Ensuite  "New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256" esty correct (ce n'est pas toujorus le cas quand on se connecte).

Et cela doit indiquer que le serveur utilise une clé à 2048 bits, pas de compression ni d'expansion, mais la renégociation doit être indiquée comme supportée.

Visiblement on ne teste pas sur la même instance du serveur POP3 (il suffit de voir le timestamp unix indiqué dans "Start Time", j'ai 42 secondes d'écart chez moi par rapport à toi, ce n'est sans doute pas la même IP.

 

Je vais donc comparer ce que donne la commande sur chacune des 10 adresses IP de pop.wanadoo.fr pour voir si je note une différence.

 

 

 

 

 

 

verdy_p
contributeur confirmé
contributeur confirmé
3 746  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Le problème est là: toutes les IP (de pop.wanadoo.fr, ou pop.orange.fr peu importe ce sont les mêmes IP les deux cdomaines sont des alias) n'ont pas le bon certificat.

 

Exemples avec:

- 80.12.24.209:995 (je vois SHA1 et non SHA2 dans la signature du dernier certificat, erreur openssl=21)

- 80.12.24.17:995 (idem)

 

En revanche le SSL est OK avec 80.12.24.13:995

 

Les adresses IP des pop sont 80.12.24.(13 à 17 et 205 à 209). Deux adresses sur 10 ont des certificats erronés. Chaque nouvelle requête DNS pour pop.orange.fr ou pop.wanadoo.fr retourne ces 10 adresses dans un ordre aléatoire, le client se connecte au premier qui répond, en cas d'échec il essaye le suivant et on tombe sur un autre serveur. Deux il y a bien 2 serveurs sur 10 qui sont incorrects (ces 10 IP sont en plus certainement des frontaux d'équilibrage de charge et il y a certainement plus de serveurs que 10 pour tous les abonnés Orange France sachant que les clients peuvent chacun se connecter les serveurs plusieurs fois par minute et établir autant de sessions SSL, les serveurs doient donc gérer plusieurs millions de requêtes de connexion SSL par minute et 10 serveurs ma parait faible, sans compter aussi les serveurs POP internes consultés par le service Webmail d'Orange).

 

 Les adresses IP que tu obtiens dépendent du DNS utilisé et de tirages aléatoires, Orange n'expose pas nécessairement les mêmes serveurs selon l'adresse IP du client DNS qui se connecte, il y a sans doute un système équilibreur de charge.

 

pop.wanadoo.fr normalement retourne une dizaine d'adresses IPv4 si tu fais un nslookup, mais ces adresses ne sont pas les mêmes pour tout le monde et sont mélangées dans un ordre aléatoire: si on ne pingue pas l'une, le client vas essayer sur la suivante. Au final on atteint un serveur ou un autre et visiblement ils ne sont pas tous correctement installés.

 

C'est la loterie: ça doit marcher pour le webmail mais pas chez 20% des abonnés Orange qui veulent utiliser les pop3 (ils sont moins nombreux que les utilisateur du webmail) selon le serveur sur lequel ils tombent.

verdy_p
contributeur confirmé
contributeur confirmé
3 728  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Tout est là:

openssl s_client -showcert -connect 80.12.24.209:995

 

CONNECTED(00000003)
---
Certificate chain
 0 s:/C=FR/L=Paris/O=Orange/OU=Orange France/CN=pop.orange.fr
   i:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
-----BEGIN CERTIFICATE-----
MIIGLzCCBRegAwIBAgIQA/2bSivit86M1VRCxqmoKjANBgkqhkiG9w0BAQsFADBN
(...snip-...) Dksf -----END CERTIFICATE----- --- Server certificate subject=/C=FR/L=Paris/O=Orange/OU=Orange France/CN=pop.orange.fr issuer=/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA --- No client certificate CA names sent Peer signing digest: SHA256 Server Temp Key: ECDH, P-256, 256 bits --- SSL handshake has read 2116 bytes and written 455 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES128-SHA Session-ID: 46EC69A6DB711DCBAF35B486C23946D263125130A3E1F05830DD9E6592C994E3 Session-ID-ctx: Master-Key: 09A450E5473BFCFBDF71CB1D7493E5D66AE3032B27968FD5F42D8BA70C84D69CB1561EF382118D041582F510A2B5F4CE Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1526598212 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- +OK Dovecot ready.
^C

 C'est un des serveurs pop.orange.fr en défaut. Ce certificat inutilisable se décode ainsi:

 

openssl x509 -in x.crt -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:fd:9b:4a:2b:e2:b7:ce:8c:d5:54:42:c6:a9:a8:2a
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=DigiCert Inc, CN=DigiCert SHA2 Secure Server CA
        Validity
            Not Before: Apr  9 00:00:00 2018 GMT
            Not After : Jun  9 12:00:00 2019 GMT
        Subject: C=FR, L=Paris, O=Orange, OU=Orange France, CN=pop.orange.fr
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b8:1a:b0:60:a6:9b:fb:28:73:cf:75:3c:3c:d6:
(...snip...) 27:81 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Authority Key Identifier: keyid:0F:80:61:1C:82:31:61:D5:2F:28:E7:8D:46:38:B4:2C:E1:C6:D9:E2 X509v3 Subject Key Identifier: 9E:69:B2:9B:92:33:E7:A9:F2:BE:99:F6:08:49:8E:47:93:F8:F6:62 X509v3 Subject Alternative Name: DNS:pop.orange.fr, DNS:pop.wanadoo.fr, DNS:pop3.orange.fr X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://crl3.digicert.com/ssca-sha2-g6.crl Full Name: URI:http://crl4.digicert.com/ssca-sha2-g6.crl X509v3 Certificate Policies: Policy: 2.16.840.1.114412.1.1 CPS: https://www.digicert.com/CPS Policy: 2.23.140.1.2.2 Authority Information Access: OCSP - URI:http://ocsp.digicert.com CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2SecureServerCA.crt X509v3 Basic Constraints: CA:FALSE CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : A4:B9:09:90:B4:18:58:14:87:BB:13:A2:CC:67:70:0A: 3C:35:98:04:F9:1B:DF:B8:E3:77:CD:0E:C8:0D:DC:10 Timestamp : Apr 9 14:28:59.450 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:21:00:8A:85:B9:05:5B:6E:7C:8D:96:5F:1B: F0:DA:F1:EF:3C:8A:3D:CA:04:F5:C8:82:DA:8A:14:15: 48:52:39:FE:96:02:20:03:6C:A2:21:18:11:6D:B9:94: DC:04:70:EE:B8:31:B2:7B:FD:DE:50:2B:99:31:4B:A4: 94:1E:BE:F5:EA:F2:3F Signed Certificate Timestamp: Version : v1(0) Log ID : 6F:53:76:AC:31:F0:31:19:D8:99:00:A4:51:15:FF:77: 15:1C:11:D9:02:C1:00:29:06:8D:B2:08:9A:37:D9:13 Timestamp : Apr 9 14:28:59.810 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:44:02:20:22:74:7D:DA:EB:27:A9:C2:8B:AB:42:F2: BE:F0:E9:8F:5E:3F:59:13:00:C8:63:55:77:DF:E0:DB: 0A:F4:E1:19:02:20:5F:CF:5D:52:69:E0:2E:B3:68:E0: 22:CB:8C:BF:25:05:C4:CD:76:67:74:D9:79:8D:7A:AD: 4D:75:60:F7:38:60 Signature Algorithm: sha256WithRSAEncryption 07:39:b3:0a:78:17:da:0e:6e:bb:f2:bd:a0:72:1b:54:d5:a6:
(...snip...) 25:0e:4b:1f

 

Mais IL N'EST PAS SIGNE PAR DigiCert, c'est le certificat initial qu'Orange a transmis à Digicert avant sa signature et non le certificat signé comme on le voit sur

 

openssl s_client -showcert -connect 80.12.24.13:995

 

Cette demande de certificat est daté du 9 avril, Orange a du recevoir une réponse de Digicert peu après, mais Orange (ou un de ses prestataires) a installé le certificat non signé et non le certificat signé sur plusieurs de ses serveurs POP3. Et les problèmes ont commencé vers le début du mois quand ça été fait.

wanadoowanadoo
contributeur occasionnel
3 478  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Bonjour

J'ai une adresse wanadoo relevée depuis des années sur Thunderbird avec le serveur pop.orange.fr port 995. Plus d'abonnement Orange depuis 15 ans mais aucun souci.

 

En déplacement, je me suis loggée de mon PC sur un HOTSPOT ORANGE .

De retour à mon domicile, mes mails wanadoo/orange ne sont plus téléchargés dans Thunderbird , mais sans message d'erreur. Même problème  pour mon adresse gmail sur port 993 mais là j'ai un message d'erreur et d'invite de resaisie du mot de passe (ce qui ne donne rien). Thunderbird charge bien mes autres adresse Free par pop.free.fr port 995.

 

la connection au HOTSPOT ORANGE a donc chamboulé quelque chose, mais quoi???

 

 

wanadoowanadoo
contributeur occasionnel
3 251  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

J'ai réussi à résoudre le probleme avec l'adresse gmail en

1) augmentant le temps de relevé du serveur à toutes les 10 mn au lieu de 3

2) autorisant les applis moins sécurisées (comme TB : https://support.google.com/accounts/answer/6010255?hl=en

 

 

Mais toujours pas pu résoudre le relevé de l'adresse Wanadoo par TB...

hej
contributeur
3 039  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Bonjour Verdy

J'ai exactement le même problème depuis une semaine environ. J'utilise Thunderbird depuis qu'il existe, sous Windows et Linux, et je l'ai installé chez de nombreux amis.

 

Aujourd'hui j'ai désinstallé mon compte mail Wanadoo dans Thunderbird (sans effacer les données) sur un de mes ordis qui tourne avec Win7. Et puis j'ai re-configuré ce même compte mail exactement comme avant.

 

En choissant un compte IMAP cela fonctionne sans problèmes, mais pas en POP3. Même problème sur les autres ordis avec exactement la même configuration, aussi sous Linux.

 

IMAP ne me convient absolument pas, comme je dois souvent travailler sans accès internet (en avion, par exemple) et pour d'autres raisons.

 

Je demande donc à Orange de bien vouloir soit retablir la configuration de leur serveur POP3 d'avant, soit de nous faire connaître la nouvelle configuration de notre client POP3.

 

Ou bien Orange nous informe que les clients POP3 ne sont plus les bien venus.

 

Dans ce dernier cas nous serons obligés de mettre en place notre propre serveur email, et de sérieusement revoir notre relation avec Orange.

 

En tout cas il n'est pas sérieux de la part d'Orange de changer les paramètres sans en avertir les clients. Et je suis client France Telecom / Orange depuis 1986 !

 

En vous souhaitant un bon dimanche;

Henrik

papou22
#TopMembre
#TopMembre
3 023  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

Bonjour @hej,

 

Tu peux aussi demander à Orange de t'indiquer la date prévue pour la prochaine panne ou mise à jour foireuse des serveurs par un stagiaire qui a oublié de se trier les doigts !

Un problème bien décrit est déjà à moitié résolu

wanadoowanadoo
contributeur occasionnel
2 975  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

POUR HEJ POUR SA RECLAMATION AUPRES D'ORANGE QUI NE RESPECTE PAS SES CONDITIONS GENERALES

 

https://mail02.orange.fr/appsuite/v=7.6.3-34.06050002.000000/apps/fr.in8/generalConditions/CGU%20mai...

 

Article 8 -
Modification des prestations
Orange pourra être amenée à procéder à des modifications des fonctionnalités du Service. Si Orange était amenée, pour des raisons techniques ou commerciales, à modifier le Service, l’Utilisateur en serait informé un mois au moins avant la date prévue. L’Utilisateur pourra alors résilier son accès au Service ou cesser d’y accéder dans les conditions et selon les modalités et délais prévus à l'article 11 des présentes conditions générales d’utilisation
Article 10 -
Responsabilités d'Orange
10.5
Orange est responsable de la mise en place des moyes nécessaires au bon fonctionnement et à la sécurisation du Service et prend les mesures nécessaires au maintien de la continuité et de la qualité du Service.
 
 
papou22
#TopMembre
#TopMembre
2 966  

Re: L'identification sur le serveur serveur pop3 d'Orange a échoué.

@wanadoowanadoo,

 

Et alors ? Ça prouve quoi ?

 

Lorsque ton moteur de voiture tombe en panne, c'est bien un changement de fonctionnalité et cependant le constructeur ne t'en a pas prévenu !

Un problème bien décrit est déjà à moitié résolu

Vous avez une question ?

Interrogez la communauté

Déjà 753063 membres inscrits 🧡

2831 personnes actuellement en ligne

Tous les membres en ligne