Echecs de connexion sécurisée à la mare
- Crazy
- Impératrice incontestée du Pareil © Crazy
- Messages : 5832
- Enregistré le : mer. juin 05, 2013 9:30 pm
- Rang special : Chieuse pas tentée
- Localisation : IdF
- Contact :
Re: Echecs de connexion sécurisée à la mare
J'ai mis à jour Avast et le pb s'est déplacé : la racine du forum a un beau cadenas vert, mais certaines autres pages, non (pe un pb de cache).
Blog : Crazy's Wor(l)ds
- Ivan
- Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
- Messages : 803
- Enregistré le : mer. oct. 24, 2012 6:39 pm
- Rang special : Gestalt, parce que je le vaux bien
- Contact :
Re: Echecs de connexion sécurisée à la mare
Allons, allons, trêve de spéculations.Crazy a écrit :(pe un pb de cache).
Si le cadenas n'est pas vert, clique dessus et le navigateur te donnera plus d'informations sur l'erreur. En toute vraisemblance, si ça varie suivant les pages, je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Sincèrement,
Ivan
Ivan
- Crazy
- Impératrice incontestée du Pareil © Crazy
- Messages : 5832
- Enregistré le : mer. juin 05, 2013 9:30 pm
- Rang special : Chieuse pas tentée
- Localisation : IdF
- Contact :
Re: Echecs de connexion sécurisée à la mare
Ah, c'pas faux, je te confirme ça dès que je retombe sur un triangleIvan a écrit :je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Blog : Crazy's Wor(l)ds
- Alaëlle
- Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
- Messages : 15102
- Enregistré le : mar. déc. 09, 2014 10:44 am
- Rang special : Grenouille bienveillante
- Localisation : Forestelle, dans un arbral
Re: Echecs de connexion sécurisée à la mare
Merci Yvan pour ces éclaircissements...
Je vais répondre à quelques questions (mais ça rejoindra pas mal ce que dit Kushiel) :
- Pour le bug, c'est apparu vendredi en tout début d'après-midi, vers 13h30, je dirais.
- Je suis sous Mac OS X 10.6.8 et nous ne pouvons le basculer dans le dernier système Mac (trop vieux ).
- Ma version de Safari est 5.1.10, et je mets à jour de temps en temps. Là, je n'ai pas l'impression que je peux avoir plus récent par rapport à mon Mac. Je vais checker ça avec mon mari.
- Le message d'erreur affiché sous Safari :" Safari ne parvient pas à ouvrir la page "ucp.php?mode=login" car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"
Voili Voilou. Rien n'a changé vendredi par rapport au forum ? Pas de nouveautés, de MAJ ? Sinon ce serait plus du côté de Safari ?
Bon week-end à tous...
Je vais répondre à quelques questions (mais ça rejoindra pas mal ce que dit Kushiel) :
- Pour le bug, c'est apparu vendredi en tout début d'après-midi, vers 13h30, je dirais.
- Je suis sous Mac OS X 10.6.8 et nous ne pouvons le basculer dans le dernier système Mac (trop vieux ).
- Ma version de Safari est 5.1.10, et je mets à jour de temps en temps. Là, je n'ai pas l'impression que je peux avoir plus récent par rapport à mon Mac. Je vais checker ça avec mon mari.
- Le message d'erreur affiché sous Safari :" Safari ne parvient pas à ouvrir la page "ucp.php?mode=login" car Safari ne peut pas établir une connexion sécurisée au serveur "tremplinsdelimaginaire.com"
Voili Voilou. Rien n'a changé vendredi par rapport au forum ? Pas de nouveautés, de MAJ ? Sinon ce serait plus du côté de Safari ?
Bon week-end à tous...
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction
Cycliste et Chocajou, équipe cycle
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction
Cycliste et Chocajou, équipe cycle
- Crazy
- Impératrice incontestée du Pareil © Crazy
- Messages : 5832
- Enregistré le : mer. juin 05, 2013 9:30 pm
- Rang special : Chieuse pas tentée
- Localisation : IdF
- Contact :
Re: Echecs de connexion sécurisée à la mare
Confirmé : toi et moi avons des avatars stockés sur place => ok, mais pas Alaëlle, du coup la page est passée du vert au jauneIvan a écrit :je parie que c'est un problème de "mixed content" (des images qui ne sont pas servies en HTTPS). Sur un forum où n'importe qui peut en poster, ce n'est pas quelque chose d'inquiétant.
Blog : Crazy's Wor(l)ds
- LaPlume
- LaPlume est plus fort(e) que l'épée
- Messages : 1129
- Enregistré le : dim. sept. 04, 2011 3:28 pm
- Rang special : Trinque avec (la) Modération :)
Re: Echecs de connexion sécurisée à la mare
J'ai le même soucis, avec deux cas différents sur la même connexion (je m'en suis rendu compte aujourd'hui, après 13h) :
1er cas : via une tablette samsung (OS android je crois) avec Opera v11 et le navigateur internet natif de la tablette
Message d'erreur : "Impossible d'achever la transaction sécurisée"
2nd cas : via l'ordinateur PC windows 8.1 navigateur firefox v42 : je peux accéder au site de tremplins et cocyclics (à l'évidence :p) mais la connexion est parfois sécurisée (cadenas vert) et parfois non (cadenas fermée avec message d'alerte orange/jaune).
Dans ce dernier cas, voici quelques informations du certificat SSL :
1er cas : via une tablette samsung (OS android je crois) avec Opera v11 et le navigateur internet natif de la tablette
Message d'erreur : "Impossible d'achever la transaction sécurisée"
2nd cas : via l'ordinateur PC windows 8.1 navigateur firefox v42 : je peux accéder au site de tremplins et cocyclics (à l'évidence :p) mais la connexion est parfois sécurisée (cadenas vert) et parfois non (cadenas fermée avec message d'alerte orange/jaune).
Dans ce dernier cas, voici quelques informations du certificat SSL :
Spoiler:
montrer
Actualité du moment
Tout est en pause car bien occupé à la maison avec mini-têtard!
Tout est en pause car bien occupé à la maison avec mini-têtard!
- Ivan
- Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
- Messages : 803
- Enregistré le : mer. oct. 24, 2012 6:39 pm
- Rang special : Gestalt, parce que je le vaux bien
- Contact :
Re: Echecs de connexion sécurisée à la mare
Bon, la situation commence à s'éclaircir un peu.
Alaëlle : Même problème que Kushiel du coup, la version de Safari est trop vieille. Si jamais il n'est pas possible de la mettre à jour, tu as toujours l'option d'utiliser un autre navigateur (Firefox ou Chrome) qui n'aura aucune difficulté à se connecter à CoCyclics.
Crazy : Je considère ce problème résolu donc. Forcer tout le monde à utiliser des avatars stockés sur des sites sécurisés me paraît être une entreprise sisyphéenne ; tant que les mots de passe de tout le monde sont protégés, j'estime que l'essentiel est fait.
LaPlume : Pour la tablette, je vois qu'Opera 11 est sorti en mai 2012 : on est dans le même cas que Safari 6 : le navigateur est trop vieux et n'est plus supporté sur la mare. Je t'invite à le mettre à jour le navigateur via le Play Store, ou à en adopter un autre si nécessaire. Pour le PC, le message d'alerte est vraisemblablement le même que celui de Crazy donc on peut l'ignorer. Si tu veux plus d'informations sur cette erreur, il suffit de cliquer sur le triangle, mais dans tous les cas le certificat SSL que tu reçois est bien le nôtre.
Pour ceux que ça intéresse, je donne un peu de contexte sur la fin du support des vieux navigateurs ci-dessous.
Vendredi, j'ai procédé à une mise à jour globale de l'ensemble des sites que j'administre sur le plan des connexions sécurisées. En particulier, j'ai updaté la liste des algorithmes cryptographiques que notre serveur acceptera d'utiliser, conformément aux dernières recommandations dans le domaine. Pour faire simple, quand un navigateur et un site veulent se parler de manière chiffrée, ils commencent par se mettre d'accord sur quel algorithme ils vont utiliser. Le "serveur" (celui à qui on se connecte) envoie la liste des siens, le "client" (celui qui se connecte) en choisit un qu'il sait utiliser, et la magie des mathématiques fait le reste.
Sans ce protocole, les algorithmes cryptographiques utilisés seraient figés dans le marbre, et il ne serait pas possible d'en ajouter et/ou d'en enlever au fil du temps. Et ce serait un problème, parce qu'au fil des années, les "vieux" algorithmes deviennent de moins en moins sûrs (parce que la puissance des ordinateurs augmente pour casser le chiffrement, parce qu'on découvre des failles dans le protocole, etc...). Ce qui s'est passé vendredi, c'est que certains "vieux" algorithmes ont justement été retirés des options proposées par le serveur de CoCyclics, et que suite à cela, les navigateurs de certains d'entre vous n'en ont plus aucun en commun avec la machine qui héberge la mare. D'où "l'échec" de la connexion sécurisée : le "client" et le "serveur" n'arrivent plus à se parler.
Je suis conscient du fait que ça peut être irritant pour ceux d'entre vous qui ont maintenant des problèmes pour se connecter, cependant retirer les algorithmes cryptographiques faibles est nécessaire pour la sécurité de tous dans la mare. En effet, rien n'oblige les navigateurs les plus à jour de choisir le pire algorithme disponible quand ils viennent sur CoCyclics, et il y a d'ailleurs des attaques dont l'objectif est de forcer un ordinateur à choisir un mauvais protocole de chiffrement (même quand des bons sont proposés). A ce titre, il est donc nécessaire que le "pire" que nous proposions offre malgré tout des garanties fortes de sécurité - et des garanties fortes pour 2015, pas pour 2012.
Pour résumer, toutes mes excuses à ceux à qui ça pose des soucis, mais c'est pour le bien commun. Et une partie de moi ne peut s'empêcher de penser que si la mesure vous oblige à quitter un navigateur qui n'est plus mis à jour depuis 3+ ans, avec tout ce que ça implique en bugs et failles de sécurité non corrigés, vous en serez au final les plus grands gagnants.
Alaëlle : Même problème que Kushiel du coup, la version de Safari est trop vieille. Si jamais il n'est pas possible de la mettre à jour, tu as toujours l'option d'utiliser un autre navigateur (Firefox ou Chrome) qui n'aura aucune difficulté à se connecter à CoCyclics.
Crazy : Je considère ce problème résolu donc. Forcer tout le monde à utiliser des avatars stockés sur des sites sécurisés me paraît être une entreprise sisyphéenne ; tant que les mots de passe de tout le monde sont protégés, j'estime que l'essentiel est fait.
LaPlume : Pour la tablette, je vois qu'Opera 11 est sorti en mai 2012 : on est dans le même cas que Safari 6 : le navigateur est trop vieux et n'est plus supporté sur la mare. Je t'invite à le mettre à jour le navigateur via le Play Store, ou à en adopter un autre si nécessaire. Pour le PC, le message d'alerte est vraisemblablement le même que celui de Crazy donc on peut l'ignorer. Si tu veux plus d'informations sur cette erreur, il suffit de cliquer sur le triangle, mais dans tous les cas le certificat SSL que tu reçois est bien le nôtre.
Pour ceux que ça intéresse, je donne un peu de contexte sur la fin du support des vieux navigateurs ci-dessous.
Vendredi, j'ai procédé à une mise à jour globale de l'ensemble des sites que j'administre sur le plan des connexions sécurisées. En particulier, j'ai updaté la liste des algorithmes cryptographiques que notre serveur acceptera d'utiliser, conformément aux dernières recommandations dans le domaine. Pour faire simple, quand un navigateur et un site veulent se parler de manière chiffrée, ils commencent par se mettre d'accord sur quel algorithme ils vont utiliser. Le "serveur" (celui à qui on se connecte) envoie la liste des siens, le "client" (celui qui se connecte) en choisit un qu'il sait utiliser, et la magie des mathématiques fait le reste.
Sans ce protocole, les algorithmes cryptographiques utilisés seraient figés dans le marbre, et il ne serait pas possible d'en ajouter et/ou d'en enlever au fil du temps. Et ce serait un problème, parce qu'au fil des années, les "vieux" algorithmes deviennent de moins en moins sûrs (parce que la puissance des ordinateurs augmente pour casser le chiffrement, parce qu'on découvre des failles dans le protocole, etc...). Ce qui s'est passé vendredi, c'est que certains "vieux" algorithmes ont justement été retirés des options proposées par le serveur de CoCyclics, et que suite à cela, les navigateurs de certains d'entre vous n'en ont plus aucun en commun avec la machine qui héberge la mare. D'où "l'échec" de la connexion sécurisée : le "client" et le "serveur" n'arrivent plus à se parler.
Je suis conscient du fait que ça peut être irritant pour ceux d'entre vous qui ont maintenant des problèmes pour se connecter, cependant retirer les algorithmes cryptographiques faibles est nécessaire pour la sécurité de tous dans la mare. En effet, rien n'oblige les navigateurs les plus à jour de choisir le pire algorithme disponible quand ils viennent sur CoCyclics, et il y a d'ailleurs des attaques dont l'objectif est de forcer un ordinateur à choisir un mauvais protocole de chiffrement (même quand des bons sont proposés). A ce titre, il est donc nécessaire que le "pire" que nous proposions offre malgré tout des garanties fortes de sécurité - et des garanties fortes pour 2015, pas pour 2012.
Pour résumer, toutes mes excuses à ceux à qui ça pose des soucis, mais c'est pour le bien commun. Et une partie de moi ne peut s'empêcher de penser que si la mesure vous oblige à quitter un navigateur qui n'est plus mis à jour depuis 3+ ans, avec tout ce que ça implique en bugs et failles de sécurité non corrigés, vous en serez au final les plus grands gagnants.
Sincèrement,
Ivan
Ivan
- Alaëlle
- Sous ses airs innocents, le couteau qu'elle cache ne sert pas qu'à étaler du beurre
- Messages : 15102
- Enregistré le : mar. déc. 09, 2014 10:44 am
- Rang special : Grenouille bienveillante
- Localisation : Forestelle, dans un arbral
Re: Echecs de connexion sécurisée à la mare
OK Ivan, tout s'explique ! Le tout, c'est de comprendre ce qui se passe, et je suis rassurée, j'ai compris.
Merci pour tout ce que tu fais dans l'ombre pour nous, pauvres grenouilles qui pataugeons dans les brouillards de la mare.
Bon week-end !
Merci pour tout ce que tu fais dans l'ombre pour nous, pauvres grenouilles qui pataugeons dans les brouillards de la mare.
Bon week-end !
Trilogie Forestelle éditée chez Au Loup Éditions
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction
Cycliste et Chocajou, équipe cycle
4ème roman feel-good en recherche d'éditeur
Aucéade, spin-off de Forestelle, tome 1 en correction
Cycliste et Chocajou, équipe cycle
-
- Space Invader ou Space Opéra ?
- Messages : 615
- Enregistré le : mer. juin 18, 2014 12:12 pm
- Rang special : Petit Pixel
- Localisation : Ouest parisien
- Contact :
Re: Echecs de connexion sécurisée à la mare
C'est une très bonne chose de mettre à jour les protocoles de chiffrement (vu le bazar qu'on a en ce moment au boulot je ne peux qu'approuver ce genre de démarche).
Bon, maintenant mon téléphone Android ne veut plus se connecter, mais je devrais bien pouvoir télécharger Opera ou FF
Bon, maintenant mon téléphone Android ne veut plus se connecter, mais je devrais bien pouvoir télécharger Opera ou FF
***Passage ninja***
- LaPlume
- LaPlume est plus fort(e) que l'épée
- Messages : 1129
- Enregistré le : dim. sept. 04, 2011 3:28 pm
- Rang special : Trinque avec (la) Modération :)
Re: Echecs de connexion sécurisée à la mare
En fait mon navigateur c'est "Opera Mini", dont la dernière maj datait de septembre j'ai updaté sur la v12 mais ça n'a rien changé, je me suis donc résolu à passer sur firefox mobile qui est très bien et en fait ça fonctionne sans soucis.Ivan a écrit : LaPlume : Pour la tablette, je vois qu'Opera 11 est sorti en mai 2012 : on est dans le même cas que Safari 6 : le navigateur est trop vieux et n'est plus supporté sur la mare. Je t'invite à le mettre à jour le navigateur via le Play Store, ou à en adopter un autre si nécessaire. Pour le PC, le message d'alerte est vraisemblablement le même que celui de Crazy donc on peut l'ignorer. Si tu veux plus d'informations sur cette erreur, il suffit de cliquer sur le triangle, mais dans tous les cas le certificat SSL que tu reçois est bien le nôtre.
Tes explications sont très claires et c'est intéressant de comprendre le pourquoi du comment derrière cet aspect de sécurité. Merci en tout cas.
C'est tout pour moi
Actualité du moment
Tout est en pause car bien occupé à la maison avec mini-têtard!
Tout est en pause car bien occupé à la maison avec mini-têtard!
- cedricg
- Sensei volcanique
- Messages : 371
- Enregistré le : mer. mars 27, 2013 6:11 pm
- Rang special : tapoteur de clavier
- Localisation : Chilly-Mazarin
- Contact :
Re: Echecs de connexion sécurisée à la mare
J'ai bien cette empreinte sous Chrome, mais FF refuse juste de montrer quoi que ce soit. Il considère la connexion non chiffrée, et je me suis laissé emporté par l'analyse que le logiciel donne sans l'analyser.
Je pense que c'est en fait un défaut de cette version de FF, je ne trouve de trace nulle part ailleurs, c'est curieux.
En utilisant la console, je pense que FF ne reçoit rien (ou n'analyse pas ce qu'il reçoit). En tout cas il ne log aucune réponse du serveur. Et il termine avec
Si sur Debian avec la même version (la 42 étant la plus récente) tu n'as pas le même soucis, le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple) utilisées, je vais poser la question à des confrères.
Je pense que c'est en fait un défaut de cette version de FF, je ne trouve de trace nulle part ailleurs, c'est curieux.
En utilisant la console, je pense que FF ne reçoit rien (ou n'analyse pas ce qu'il reçoit). En tout cas il ne log aucune réponse du serveur. Et il termine avec
Le fait qu'un vieux Safari ait également un problème laisse penser qu'on est tombé sur un petit bug. Passer en safe mode ne change rien.18:13:10,086 NS_ERROR_NOT_AVAILABLE: 1 about:neterror:59:0
Si sur Debian avec la même version (la 42 étant la plus récente) tu n'as pas le même soucis, le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple) utilisées, je vais poser la question à des confrères.
Rêve vert, nouvelle qui aura bientôt une V2
- cedricg
- Sensei volcanique
- Messages : 371
- Enregistré le : mer. mars 27, 2013 6:11 pm
- Rang special : tapoteur de clavier
- Localisation : Chilly-Mazarin
- Contact :
Re: Echecs de connexion sécurisée à la mare
Éventuellement, Ivan, si tu peux me confier la configuration du serveur web, je peux tenter de reproduire pour voir si j'isole un problème quelconque. Ca fait partie de mon job actuel.
Rêve vert, nouvelle qui aura bientôt une V2
- Amaryan
- Messages : 1418
- Enregistré le : sam. mars 01, 2014 7:37 pm
- Rang special : Petite baleine
- Contact :
Re: Echecs de connexion sécurisée à la mare
Ah, ça y est j'ai donc l'explication ! J'utilise Opera 12 comme navigateur de base et depuis vendredi je ne peux plus me connecter à Cocy via ce navigateur, mais j'y arrive avec firefox (sur pc). C'est donc dû à ta mise à jour Ivan, mais bon j'étais pas vraiment inquiète vu comme Opera est obsolète, je me doutais que c'était la cause du problème...
- Ivan
- Attention ! Grenouille rouge. Ne pas lécher (mais on peut y frotter ses pointes de flèches)
- Messages : 803
- Enregistré le : mer. oct. 24, 2012 6:39 pm
- Rang special : Gestalt, parce que je le vaux bien
- Contact :
Re: Echecs de connexion sécurisée à la mare
Tu n'as pas dû lire mes derniers posts avec suffisamment d'attention : Safari n'a PAS le même comportement. Il échoue à établir une connexion avec ce qui serait une erreur SSL_ERROR_NO_CIPHER_OVERLAP sous Firefox.cedricg a écrit :Le fait qu'un vieux Safari ait également un problème laisse penser qu'on est tombé sur un petit bug. Passer en safe mode ne change rien.
Si sur Debian avec la même version (la 42 étant la plus récente) tu n'as pas le même soucis, le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple) utilisées, je vais poser la question à des confrères.
D'autre part, si je dis que j'ai la version 45 de Firefox, c'est que j'ai la version 45. J'utilise les builds "nightlies".
A priori, ce n'est pas le bon diagnostic non plus. A ma connaissance, Firefox n'utilise aucune de ces bibliothèques, mais embarque la sienne (libNSS) pour tout ce qui a trait au chiffrement. Après, si tu penses quand même que ça vient d'OpenSSL, c'est quelque chose qui se vérifie facilement avec la commande suivante :cedricg a écrit :le bug peut être dans les librairies (OpenSSL ou GnuTLS par exemple)
Code : Tout sélectionner
openssl s_client -connect tremplinsdelimaginaire.com:443 -showcerts
Spoiler:
montrer
Sincèrement,
Ivan
Ivan
- cedricg
- Sensei volcanique
- Messages : 371
- Enregistré le : mer. mars 27, 2013 6:11 pm
- Rang special : tapoteur de clavier
- Localisation : Chilly-Mazarin
- Contact :
Re: Echecs de connexion sécurisée à la mare
Ok, problème trouvé finalement, en lançant un profil "neuf" sous Firefox ça marche, donc je dois avoir un soucis dans les banques de certificats, un truc dans le genre. Le plus curieux est que le problème est le même sur trois PC différents, installés de différentes manières... J'ajoute ce cas étrange à ma bibliothèque. Je vais quand même en profiter pour apprendre Nginx au passage.
Rêve vert, nouvelle qui aura bientôt une V2