Jolie petite histoire :-) Ce que j'en retiens, et comme à chaque fois, ne jamais faire confiance à sa box FAI pour gérer son réseau interne.
Si tu veux pouvoir bricoler/t'éclater/sécuriser ton réseau, vaut mieux passer par un vrais serveur, ou une boiboite OpenWRT :-) -- MrJK GPG: https://jeznet.org/jez.asc Le 16 avril 2015 09:07, Pierre DOLIDON <sn...@sn4ky.net> a écrit : > Salut. > > Penses également à ne pas utiliser les DNS qui te sont proposés par ton > opérateur, afin d'utiliser quelque chose moins intrusif... > > > Le 15/04/2015 22:20, Florian Siegenthaler a écrit : > > Bonjour à tous, > > Problème résolu, le certificat provient de la box Swisscom de son interface > web, j'ai réussi à reproduire le problème, quand je perd l'accès à Internet > c'est l'interface web du routeur qui s'affiche pour le signaler, c'est un > portail captif qui a envoyé son certificat à ownCloud. Pour ce faire il > suffit de débrancher le lien DSL et la box renvoie pour toutes les requêtes > DNS sa propre IP. > > Donc le résolveur DNS de la box ment en plus du résolveur FAI pour signaler > la perte de connexion et ownCloud a reçu ce certificat par erreur. > Constaté par un wget --no-check-certificate https://files.siegenthaler.mx : > > florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate > https://files.siegenthaler.mx > --2015-04-15 22:01:07-- https://files.siegenthaler.mx/ > Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1 > Connecting to files.siegenthaler.mx > (files.siegenthaler.mx)|192.168.1.1|:443... connected. > WARNING: cannot verify files.siegenthaler.mx's certificate, issued by > ‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’: > Self-signed certificate encountered. > WARNING: certificate common name ‘Swisscom’ doesn't match requested host > name ‘files.siegenthaler.mx’. > HTTP request sent, awaiting response... 200 OK > Length: 4852 (4.7K) [text/html] > Saving to: ‘index.html.3’ > > 100%[===========================================================================================================================================================================>] > 4'852 --.-K/s in 0.005s > > 2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852] > > Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même supprimé > l'autorité de certification Swisscom de toutes mes machines car cela leur > offre la possibilité d'un mitm très peu visible et sans aucune alerte sur > tous leurs clients (j'imagine de l'ordre du million), de plus je n'ai pas > confiance en mon FAI. > > Merci pour votre participation et vos remarques. > Florian Siegenthaler > > On 12. 04. 15 12:01, Florian Siegenthaler wrote: > > Bonjour, > > Merci de vos réponses. > > Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom), > cet opérateur est aussi autorité de certification mais il ne me semble > pas que ce faux certificat soit signé par cette autorité. > Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et > installerai Framapic sur le serveur prochainement. > > Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat. > Et non je suis connecté directement en câble, donc pas de portail wifi > captif. > > Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce > certificat provient de l'autorité de certification Swisscom mais j'en > doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché > d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il > survient à nouveau, est-il possible de faire un tcpdump sélectif pour > récupérer le certificat et d'autres informations (provenance IP, etc) ? > > J'ai d'ailleurs supprimé de mes machines cette autorité de certification > car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas > sa présence dans les OS et navigateurs... > > Florian Siegenthaler > // > > On 09. 04. 15 23:39, Luc didry wrote: > > Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit : > > c est interessant et ca a surement sa place ici, amha c est meme > suffisemment interessant pour crossposter sur frnog si tu ne trouve > pas ton bonheur ici. > > Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut > faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret. > > Tu pourrais regarder avec les outils de développement de Firefox pour suivre > les requêtes HTTP. > > Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te > conseillerai bien de la mettre sur https://framapic.org ou https://lut.im > plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre > quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas > mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a > fait 84 requètes HTTP pour une bête page). Les deux services que je cite > sont libres et respectueux de la vie privée, promis juré craché, et c'est > rapide à l'affichage. > > Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php > d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier > js/css d'appelés. > > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > > > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
