Bonjour à tous,
Problème résolu, le certificat provient de la box Swisscom de son
interface web, j'ai réussi à reproduire le problème, quand je perd
l'accès à Internet c'est l'interface web du routeur qui s'affiche
pour le signaler, c'est un portail captif qui a envoyé son
certificat à ownCloud. Pour ce faire il suffit de débrancher le
lien DSL et la box renvoie pour toutes les requêtes DNS sa propre
IP.
Donc le résolveur DNS de la box ment en plus du résolveur FAI pour
signaler la perte de connexion et ownCloud a reçu ce certificat
par erreur.
Constaté par un wget --no-check-certificate
https://files.siegenthaler.mx :
florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate
https://files.siegenthaler.mx
--2015-04-15 22:01:07--
https://files.siegenthaler.mx/
Resolving files.siegenthaler.mx (files.siegenthaler.mx)...
192.168.1.1
Connecting to files.siegenthaler.mx
(files.siegenthaler.mx)|192.168.1.1|:443... connected.
WARNING: cannot verify files.siegenthaler.mx's certificate, issued
by ‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’:
Self-signed certificate encountered.
WARNING: certificate common name ‘Swisscom’ doesn't match
requested host name ‘files.siegenthaler.mx’.
HTTP request sent, awaiting response... 200 OK
Length: 4852 (4.7K) [text/html]
Saving to: ‘index.html.3’
100%[===========================================================================================================================================================================>]
4'852 --.-K/s in 0.005s
2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]
Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de
même supprimé l'autorité de certification Swisscom de toutes mes
machines car cela leur offre la possibilité d'un mitm très peu
visible et sans aucune alerte sur tous leurs clients (j'imagine de
l'ordre du million), de plus je n'ai pas confiance en mon FAI.
Merci pour votre participation et vos remarques.
On 12. 04. 15 12:01, Florian Siegenthaler wrote:
Bonjour,
Merci de vos réponses.
Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom),
cet opérateur est aussi autorité de certification mais il ne me semble
pas que ce faux certificat soit signé par cette autorité.
Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et
installerai Framapic sur le serveur prochainement.
Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat.
Et non je suis connecté directement en câble, donc pas de portail wifi
captif.
Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce
certificat provient de l'autorité de certification Swisscom mais j'en
doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché
d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il
survient à nouveau, est-il possible de faire un tcpdump sélectif pour
récupérer le certificat et d'autres informations (provenance IP, etc) ?
J'ai d'ailleurs supprimé de mes machines cette autorité de certification
car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas
sa présence dans les OS et navigateurs...
Florian Siegenthaler
//
On 09. 04. 15 23:39, Luc didry wrote:
Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :
c est interessant et ca a surement sa place ici, amha c est meme
suffisemment interessant pour crossposter sur frnog si tu ne trouve
pas ton bonheur ici.
Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.
Tu pourrais regarder avec les outils de développement de Firefox pour suivre les requêtes HTTP.
Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai bien de la mettre sur https://framapic.org ou https://lut.im plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP pour une bête page). Les deux services que je cite sont libres et respectueux de la vie privée, promis juré craché, et c'est rapide à l'affichage.
Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css d'appelés.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/