Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

c est interessant et ca a surement sa place ici, amha c est meme suffisemment interessant pour crossposter sur frnog si tu ne trouve pas ton bonheur ici.

Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

Tu pourrais regarder avec les outils de développement de Firefox pour suivre les requêtes HTTP.

Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai bien de la mettre sur https://framapic.org ou https://lut.im plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP pour une bête page). Les deux services que je cite sont libres et respectueux de la vie privée, promis juré craché, et c'est rapide à l'affichage.

Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css d'appelés.

Sinon après une recherche Google j'ai trouvé ça : https://framasphere.org/posts/80440

Visiblement ça a l'air "normal" chez eux ...

Jonathan "bartoua" Schneider Le 9 avr. 2015 11:42 PM, "Olivier" webmaster@ajeux.com a écrit :

Pour tester un certificat à distance, j'utilise SSL Labs qui est très bien. Sur ton site ça donne ça : https://www.ssllabs.com/ssltest/analyze.html?d=files.siegenthaler.mx

Donc le serveur de ssllabs (enfin société Qualys) voit un certif qui expire dans 4 mois.

Olivier

Le 9 avril 2015 23:39, Luc didry luc@didry.org a écrit :

...

Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

...

c est interessant et ca a surement sa place ici, amha c est meme suffisemment interessant pour crossposter sur frnog si tu ne trouve pas ton bonheur ici.

Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

Tu pourrais regarder avec les outils de développement de Firefox pour suivre les requêtes HTTP.

Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai bien de la mettre sur https://framapic.org ou https://lut.im plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP pour une bête page). Les deux services que je cite sont libres et respectueux de la vie privée, promis juré craché, et c'est rapide à l'affichage.

Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css d'appelés. -- Luc http://www.fiat-tux.fr/ Internet n'est pas compliqué, Internet est ce que vous en faites.

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

On Thu Apr 9 23:50:42 2015, Luc didry wrote:

Le jeudi 9 avril 2015, 23:41:54 Olivier a écrit :

...

Pour tester un certificat à distance, j'utilise SSL Labs qui est très bien. Sur ton site ça donne ça : https://www.ssllabs.com/ssltest/analyze.html?d=files.siegenthaler.mx

Donc le serveur de ssllabs (enfin société Qualys) voit un certif qui expire dans 4 mois.

Si j'ai bien deviné, il est chez SwissCom comme FAI et il a plutôt peur que ce FAI fasse du MITM à ses abonnés. Donc une vérification depuis l'extérieur ne donnera rien.

En effet, et c’est d’autant plus bizarre que son serveur est chez OVH. On peut donc de suite écrater le souci de conf sur le routeur, sauf s’il a été bricolé à la main, mais dans ce cas je ne vois pas ce que le certificat du FAI viendrait faire ici. Le routeur ne ne devrait faire que du DNAT et ne pas s’occuper outre-mesure du SSL.

Bonjour à tous,

Problème résolu, le certificat provient de la box Swisscom de son interface web, j'ai réussi à reproduire le problème, quand je perd l'accès à Internet c'est l'interface web du routeur qui s'affiche pour le signaler, c'est un portail captif qui a envoyé son certificat à ownCloud. Pour ce faire il suffit de débrancher le lien DSL et la box renvoie pour toutes les requêtes DNS sa propre IP.

Donc le résolveur DNS de la box ment en plus du résolveur FAI pour signaler la perte de connexion et ownCloud a reçu ce certificat par erreur. Constaté par un wget --no-check-certificate https://files.siegenthaler.mx :

florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate https://files.siegenthaler.mx --2015-04-15 22:01:07-- https://files.siegenthaler.mx/ Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1 Connecting to files.siegenthaler.mx (files.siegenthaler.mx)|192.168.1.1|:443... connected. WARNING: cannot verify files.siegenthaler.mx's certificate, issued by ‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’: Self-signed certificate encountered. WARNING: certificate common name ‘Swisscom’ doesn't match requested host name ‘files.siegenthaler.mx’. HTTP request sent, awaiting response... 200 OK Length: 4852 (4.7K) [text/html] Saving to: ‘index.html.3’

100%[===========================================================================================================================================================================>] 4'852 --.-K/s in 0.005s

2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]

Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même supprimé l'autorité de certification Swisscom de toutes mes machines car cela leur offre la possibilité d'un mitm très peu visible et sans aucune alerte sur tous leurs clients (j'imagine de l'ordre du million), de plus je n'ai pas confiance en mon FAI.

Merci pour votre participation et vos remarques. Florian Siegenthaler //

On 12. 04. 15 12:01, Florian Siegenthaler wrote:

Bonjour,

Merci de vos réponses.

Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom), cet opérateur est aussi autorité de certification mais il ne me semble pas que ce faux certificat soit signé par cette autorité. Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et installerai Framapic sur le serveur prochainement.

Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat. Et non je suis connecté directement en câble, donc pas de portail wifi captif.

Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce certificat provient de l'autorité de certification Swisscom mais j'en doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il survient à nouveau, est-il possible de faire un tcpdump sélectif pour récupérer le certificat et d'autres informations (provenance IP, etc) ?

J'ai d'ailleurs supprimé de mes machines cette autorité de certification car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas sa présence dans les OS et navigateurs...

Florian Siegenthaler //

On 09. 04. 15 23:39, Luc didry wrote:

...

Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

...

c est interessant et ca a surement sa place ici, amha c est meme suffisemment interessant pour crossposter sur frnog si tu ne trouve pas ton bonheur ici.

Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

Tu pourrais regarder avec les outils de développement de Firefox pour suivre les requêtes HTTP.

Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai bien de la mettre sur https://framapic.org ou https://lut.im plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP pour une bête page). Les deux services que je cite sont libres et respectueux de la vie privée, promis juré craché, et c'est rapide à l'affichage.

Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css d'appelés.

---

Liste de diffusion du FRsAG http://www.frsag.org/

Jolie petite histoire :-) Ce que j'en retiens, et comme à chaque fois, ne jamais faire confiance à sa box FAI pour gérer son réseau interne.

Si tu veux pouvoir bricoler/t'éclater/sécuriser ton réseau, vaut mieux passer par un vrais serveur, ou une boiboite OpenWRT :-)

-- MrJK GPG: https://jeznet.org/jez.asc

Le 16 avril 2015 09:07, Pierre DOLIDON sn4ky@sn4ky.net a écrit :

Salut.

Penses également à ne pas utiliser les DNS qui te sont proposés par ton opérateur, afin d'utiliser quelque chose moins intrusif...

Le 15/04/2015 22:20, Florian Siegenthaler a écrit :

Bonjour à tous,

Problème résolu, le certificat provient de la box Swisscom de son interface web, j'ai réussi à reproduire le problème, quand je perd l'accès à Internet c'est l'interface web du routeur qui s'affiche pour le signaler, c'est un portail captif qui a envoyé son certificat à ownCloud. Pour ce faire il suffit de débrancher le lien DSL et la box renvoie pour toutes les requêtes DNS sa propre IP.

Donc le résolveur DNS de la box ment en plus du résolveur FAI pour signaler la perte de connexion et ownCloud a reçu ce certificat par erreur. Constaté par un wget --no-check-certificate https://files.siegenthaler.mx :

florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate https://files.siegenthaler.mx --2015-04-15 22:01:07-- https://files.siegenthaler.mx/ Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1 Connecting to files.siegenthaler.mx (files.siegenthaler.mx)|192.168.1.1|:443... connected. WARNING: cannot verify files.siegenthaler.mx's certificate, issued by ‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’: Self-signed certificate encountered. WARNING: certificate common name ‘Swisscom’ doesn't match requested host name ‘files.siegenthaler.mx’. HTTP request sent, awaiting response... 200 OK Length: 4852 (4.7K) [text/html] Saving to: ‘index.html.3’

100%[===========================================================================================================================================================================>] 4'852 --.-K/s in 0.005s

2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]

Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même supprimé l'autorité de certification Swisscom de toutes mes machines car cela leur offre la possibilité d'un mitm très peu visible et sans aucune alerte sur tous leurs clients (j'imagine de l'ordre du million), de plus je n'ai pas confiance en mon FAI.

Merci pour votre participation et vos remarques. Florian Siegenthaler

On 12. 04. 15 12:01, Florian Siegenthaler wrote:

Bonjour,

Merci de vos réponses.

Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom), cet opérateur est aussi autorité de certification mais il ne me semble pas que ce faux certificat soit signé par cette autorité. Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et installerai Framapic sur le serveur prochainement.

Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat. Et non je suis connecté directement en câble, donc pas de portail wifi captif.

Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce certificat provient de l'autorité de certification Swisscom mais j'en doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il survient à nouveau, est-il possible de faire un tcpdump sélectif pour récupérer le certificat et d'autres informations (provenance IP, etc) ?

J'ai d'ailleurs supprimé de mes machines cette autorité de certification car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas sa présence dans les OS et navigateurs...

Florian Siegenthaler //

On 09. 04. 15 23:39, Luc didry wrote:

Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

c est interessant et ca a surement sa place ici, amha c est meme suffisemment interessant pour crossposter sur frnog si tu ne trouve pas ton bonheur ici.

Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

Tu pourrais regarder avec les outils de développement de Firefox pour suivre les requêtes HTTP.

Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai bien de la mettre sur https://framapic.org ou https://lut.im plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP pour une bête page). Les deux services que je cite sont libres et respectueux de la vie privée, promis juré craché, et c'est rapide à l'affichage.

Astuce HS : mettre 'asset-pipeline.enabled' => true dans le config.php d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css d'appelés.

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/