Salut.
Penses également à ne pas utiliser les DNS qui te sont proposés par ton
opérateur, afin d'utiliser quelque chose moins intrusif...
Le 15/04/2015 22:20, Florian Siegenthaler a écrit :
Bonjour à tous,
Problème résolu, le certificat provient de la box Swisscom de son
interface web, j'ai réussi à reproduire le problème, quand je perd
l'accès à Internet c'est l'interface web du routeur qui s'affiche pour
le signaler, c'est un portail captif qui a envoyé son certificat à
ownCloud. Pour ce faire il suffit de débrancher le lien DSL et la box
renvoie pour toutes les requêtes DNS sa propre IP.
Donc le résolveur DNS de la box ment en plus du résolveur FAI pour
signaler la perte de connexion et ownCloud a reçu ce certificat par
erreur.
Constaté par un wget --no-check-certificate
https://files.siegenthaler.mx :
florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate
https://files.siegenthaler.mx
--2015-04-15 22:01:07-- https://files.siegenthaler.mx/
Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1
Connecting to files.siegenthaler.mx
(files.siegenthaler.mx)|192.168.1.1|:443... connected.
WARNING: cannot verify files.siegenthaler.mx's certificate, issued by
‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’:
Self-signed certificate encountered.
WARNING: certificate common name ‘Swisscom’ doesn't match
requested host name ‘files.siegenthaler.mx’.
HTTP request sent, awaiting response... 200 OK
Length: 4852 (4.7K) [text/html]
Saving to: ‘index.html.3’
100%[===========================================================================================================================================================================>]
4'852 --.-K/s in 0.005s
2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]
Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même
supprimé l'autorité de certification Swisscom de toutes mes machines
car cela leur offre la possibilité d'un mitm très peu visible et sans
aucune alerte sur tous leurs clients (j'imagine de l'ordre du
million), de plus je n'ai pas confiance en mon FAI.
Merci pour votre participation et vos remarques.
Florian Siegenthaler
//
On 12. 04. 15 12:01, Florian Siegenthaler wrote:
Bonjour,
Merci de vos réponses.
Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom),
cet opérateur est aussi autorité de certification mais il ne me semble
pas que ce faux certificat soit signé par cette autorité.
Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et
installerai Framapic sur le serveur prochainement.
Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat.
Et non je suis connecté directement en câble, donc pas de portail wifi
captif.
Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce
certificat provient de l'autorité de certification Swisscom mais j'en
doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché
d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il
survient à nouveau, est-il possible de faire un tcpdump sélectif pour
récupérer le certificat et d'autres informations (provenance IP, etc) ?
J'ai d'ailleurs supprimé de mes machines cette autorité de certification
car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas
sa présence dans les OS et navigateurs...
Florian Siegenthaler
//
On 09. 04. 15 23:39, Luc didry wrote:
Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :
c est interessant et ca a surement sa place ici, amha c est meme
suffisemment interessant pour crossposter sur frnog si tu ne trouve
pas ton bonheur ici.
Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut
faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.
Tu pourrais regarder avec les outils de développement de Firefox pour suivre
les requêtes HTTP.
Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai
bien de la mettre surhttps://framapic.org ouhttps://lut.im plutôt que sur ton
owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et
de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis
plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP
pour une bête page). Les deux services que je cite sont libres et respectueux
de la vie privée, promis juré craché, et c'est rapide à l'affichage.
Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php
d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css
d'appelés.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
