Bonjour à toutes et à tous,
Je ne sais pas si ce message a sa place ici, au cas où je suis
preneur d'un endroit plus approprié.
J'ai besoin de faire une investigation sur un faux certificat TLS,
j'ai un serveur ownCloud qui a un certificat CAcert pour mon nom de
domaine files.siegenthaler.mx et aujourd'hui j'ai reçu une alerte
pour un faux certificat émanant de Swisscom (fournisseur d'accès
national en Suisse).
Aujourd'hui à deux reprises j'ai reçu ce faux certificat d'une
validité de 30 ans, une fois sur l'application ownCloud (fichiers)
et une fois sur Thunderbird (contacts), je souhaite savoir si c'est
réellement une attaque MiTM de la part de mon fournisseur d'accès ou
si c'est un faux-positif, par exemple le routeur qui fait une
redirection HTTP 3XX quand il se broute et qu'il présente son propre
certificat ?
Le screenshot :
https://files.siegenthaler.mx/public.php?service=files&t=dedf776f96b51657dfe05ed53e92fe75
NB : l'accès est aussi disponible en clair mais les personnes
utilisant le service sont clairement informées qu'elles doivent y
accéder par HTTPS, cela va être modifié prochainement, tant pis pour
les applications ne supportant pas SNI.
Merci de vos conseils avisés.