Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :
Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle d'un
serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est derrière un
reverse-proxy ?
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait pas de
"reverse-proxy" (et je vois pas trop ce que cela vient faire ici).
Si non comment est-ce que le client peut avoir une erreur TLS si le serveur
n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. L'erreur de
certificat est manifestement un bug (et une fausse piste qui m'a fait perdre du
temps). Voici mon hypothèse : l'OS résout le nom de domaine en IPv6, le
navigateur ne parvient pas à obtenir le certificat SSL pour cette IPv6 (pas de
réponse du serveur) affiche une erreur TLS au lieu d'essayer de passer par
l'IPv4 à moins que l'OS refuse de fournir une IPv4 puisqu'il a trouvé une IPv6
pour le nom de domaine.
depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il
fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un
autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se
produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via
une ADSL).
La cause était une IPv6 aussi définie pour le nom de domaine alors que le
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange
et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée…
évidemment ça coince.
Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est impossible
d'intervenir au niveau du logiciel/OS des visiteurs d'un site.
Je rappelle que ce sous-fil de discussion (désolé Louis pour la digression) part
de mon témoignage à propos d'une intervention à faire impérativement sur le
logiciel d'après une réponse de Bertrand.
La solution aura été de simplement supprimer l'entrée AAAA de la zone DNS
pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait
considérablement agrandi la surface d'attaques possibles.
Et un problème humain ! Si le serveur n'accepte pas l'IPv6, l'administrateur
n'aurait jamais du renseigner de AAAA dans la zone !
Tout à fait ; c'est toujours un problème humain si on remonte suffisamment la
pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… :-))
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
