Connexion bloquée - problème de sécurité

Wiizard-Ubuntu · Le 21/10/2022, à 09:20

Bonjour,

Sous Ubuntu 20.04 j'arrivais à me connecter sur le réseau de mon établissement scolaire (RJ45 et Wi-fi) en passant par Firefox et cochant "détection auto du proxy". Depuis la rentrée, la connexion ne passe plus (j'étais encore sous Ubuntu 20.04) et j'ai le message d'erreur :
Connexion bloquée : problème de sécurité potentiel
lite.qwant.com a recours à une stratégie de sécurité HTTP, une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.
Code d'erreur : SSL_ERROR_BAD_CERT_Domain

Le soucis c'est que j'ai ce soucis avec TOUS les sites. Il est donc impossible qu'ils soient tous tombés.

Avec Chromium j'ai aussi un soucis de connexion (sauf sur le site de google.com) :
Votre connexion n'est pas privée
Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site ....
NET::ERR_CERT_COMMON_NAME_INVALID

Désormais, je suis sous Kubuntu 22.04 et j'ai toujours ce soucis. Je ne comprends pas d'où il peut venir.

Pour information :
un poste W10 connecté en RJ45 ne présente pas ce soucis
un téléphone (android ou iOS) connecté en wifi ne présente pas ce soucis
je suis référent réseau de mon établissement et je n'ai pas touché à la configuration réseau (la DSI de mon académie a pu toucher des trucs de son côté mais je n'en ai aucune information et je n'ai pas la main dessus)

matrix-bx · Le 21/10/2022, à 10:21

Bonjour,

par curiosité, je regarderais ce que donne la commande "openssl s_client -connect lite.qwant.com:443" sur cette machine depuis ce réseau et derrière ce proxy.
Voici ce qu'elle donne ici:

$ openssl s_client -connect lite.qwant.com:443
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
verify return:1
depth=0 CN = *.qwant.com
verify return:1
---
Certificate chain
 0 s:CN = *.qwant.com
   i:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jul  4 00:00:00 2022 GMT; NotAfter: Jul 13 23:59:59 2023 GMT
 1 s:C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
   i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA384
   v:NotBefore: Sep 12 00:00:00 2014 GMT; NotAfter: Sep 11 23:59:59 2024 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFYjCCBEqgAwIBAgIQXRJ9XpFBA5ACAaGFnV56sDANBgkqhkiG9w0BAQsFADBf
MQswCQYDVQQGEwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4w
DAYDVQQKEwVHYW5kaTEgMB4GA1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIw
HhcNMjIwNzA0MDAwMDAwWhcNMjMwNzEzMjM1OTU5WjAWMRQwEgYDVQQDDAsqLnF3
YW50LmNvbTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABEOGUx5uaEgOLzIRrSPF
PZpDY2eceQmvAL5WdsPIN79zLA8D/wRNJmUI+K1mXx7SsfF1bCFlqLxDLb84oit2
45SjggMsMIIDKDAfBgNVHSMEGDAWgBSzkKfYya9OzWE8n3ytXX9B/Wkw6jAdBgNV
HQ4EFgQU9fWQ03SJGDGZjdOF4somqNJmeJMwDgYDVR0PAQH/BAQDAgWAMAwGA1Ud
EwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMEsGA1UdIARE
MEIwNgYLKwYBBAGyMQECAhowJzAlBggrBgEFBQcCARYZaHR0cHM6Ly9jcHMudXNl
cnRydXN0LmNvbTAIBgZngQwBAgEwQQYDVR0fBDowODA2oDSgMoYwaHR0cDovL2Ny
bC51c2VydHJ1c3QuY29tL0dhbmRpU3RhbmRhcmRTU0xDQTIuY3JsMHMGCCsGAQUF
BwEBBGcwZTA8BggrBgEFBQcwAoYwaHR0cDovL2NydC51c2VydHJ1c3QuY29tL0dh
bmRpU3RhbmRhcmRTU0xDQTIuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51
c2VydHJ1c3QuY29tMCEGA1UdEQQaMBiCCyoucXdhbnQuY29tgglxd2FudC5jb20w
ggF/BgorBgEEAdZ5AgQCBIIBbwSCAWsBaQB3AK33vvp8/xDIi509nB4+GGq0Zyld
z7EMJMqFhjTr3IKKAAABgciv1koAAAQDAEgwRgIhAIaCe9ICd2bM/3dqfKhS5vo1
5yz8eainlhmeIu5Kz3ImAiEA/1eYXkma8TZZ+hoF4kPLFPFw/PgFcSnioiIpxkEI
I5wAdgB6MoxU2LcttiDqOOBSHumEFnAyE4VNO9IrwTpXo1LrUgAAAYHIr9YSAAAE
AwBHMEUCIEe01FP2exMS/2Vjnc0nhk2wOTDGmnEDJxQ81hWGAc6HAiEA7xeviBA+
m7VKrf9kMSdbIYZVjVqxwJLPPYDV+SyFhMIAdgDoPtDaPvUGNTLnVyi8iWvJA9PL
0RFr7Otp4Xd9bQa9bgAAAYHIr9XoAAAEAwBHMEUCIQDyfILhv8F8+/kgEYF12g3a
H81R7PkYs+qvgN4s67E+XAIgF7NjqYeSFpfv4dqTGFjneGuhdi/5ez4ydG1pBCE3
3Q8wDQYJKoZIhvcNAQELBQADggEBAFXhpGYwfL8Ew1fnVAnby6D4WxGUQyAL809k
OTlFYse50DnHwnWKiRKkvq0qSvmPC7rMPR7hXjiWLPrgfShbvHzXLGdJtr85QtKG
F34MI2JV8evrn1iWZs1DLcbhJfcOVS/4b0N0CbmD7fw1pX1+MZ/D3TPSCjqboArC
HH20si+R2+wj1Pk+cHc9LTeqmBJ/ri3qx5B6+cscgcKyYl/8s1g0ZxGilAlFDrVw
CT+VhPyHV6hmkDyGpCiw91kh/2k5li3hR+KAdoK3wKLrHplP53RF043U++0IluxO
/r1sqPj+kaZK+X3rCoKujivFHBd4PtVNjIQaSSV+dUGe5GMispE=
-----END CERTIFICATE-----
subject=CN = *.qwant.com
issuer=C = FR, ST = Paris, L = Paris, O = Gandi, CN = Gandi Standard SSL CA 2
---
No client certificate CA names sent
Peer signing digest: SHA512
Peer signature type: ECDSA
Server Temp Key: ECDH, prime256v1, 256 bits
---
SSL handshake has read 3411 bytes and written 442 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-ECDSA-AES256-GCM-SHA384
Server public key is 256 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-ECDSA-AES256-GCM-SHA384
    Session-ID: C14AE9DA7A2BE21A1F51E7B00A0E2C239ED905E5B677F0D6D621F678C2E2E984
    Session-ID-ctx: 
    Master-Key: 4941A88B11E2B14F1DFC1D06B59A0E4823F4C12779F67E0179831265780B52E970D5C03569118BE9108D97420BEC437E
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - b6 16 b0 57 23 b1 28 67-e8 a3 f6 f1 d0 a4 d6 d3   ...W#.(g........
    0010 - 0b 36 ba 5d 52 31 23 a8-ec c3 42 00 ad 0b 06 d9   .6.]R1#...B.....
    0020 - 06 17 2b f3 0f bf 92 6c-0f 29 64 3a 67 bd 4a 42   ..+....l.)d:g.JB
    0030 - 34 20 04 b6 e3 dc 3a 9f-62 c6 2d fa dc 76 ff e1   4 ....:.b.-..v..
    0040 - 27 34 12 8b 4b e8 00 d4-89 70 92 99 c5 59 ac c7   '4..K....p...Y..
    0050 - 70 a4 ea 2f 9f 45 ad e3-c5 4a 77 f2 af ac b1 9a   p../.E...Jw.....
    0060 - 5d 22 75 2c 19 08 f2 77-c0 bc 64 f9 0b 9f 59 88   ]"u,...w..d...Y.
    0070 - 1e c1 f2 43 b9 ea 5f 1c-b2 ae 61 86 83 4b ed de   ...C.._...a..K..
    0080 - 12 35 9f f7 2c 2e 91 cc-e0 ba 26 21 be ee 82 f9   .5..,.....&!....
    0090 - a6 5c 6f 44 8d 06 28 7e-02 75 36 4a 2e b4 ca 2d   .\oD..(~.u6J...-
    00a0 - aa 78 8b 62 91 90 69 fa-91 d2 d5 2c 88 c7 9b 0b   .x.b..i....,....
    00b0 - ca 75 d7 03 ee aa 75 95-9a 93 0d 88 81 4b 71 22   .u....u......Kq"

    Start Time: 1666343803
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: yes
---
^C
$

Dernière modification par matrix-bx (Le 21/10/2022, à 10:23)

inbox · Le 21/10/2022, à 11:32

Salut,

En recherchant "SSL_ERROR_BAD_CERT_Domain" j'ai trouvé cette page. A voir...

A+

Wiizard-Ubuntu · Le 21/10/2022, à 14:20

matrix-bx a écrit :

Bonjour,
par curiosité, je regarderais ce que donne la commande "openssl s_client -connect lite.qwant.com:443" sur cette machine depuis ce réseau et derrière ce proxy.

Voici ce que ça donne chez moi :

CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
verify return:1
depth=0 C = FR, ST = \C3\8Ele-de-France, O = Acad\C3\A9mie de Cr\C3\A9teil, CN = lyc-mozart-le-blanc-mesnil.ac-creteil.fr
verify return:1
---
Certificate chain
 0 s:C = FR, ST = \C3\8Ele-de-France, O = Acad\C3\A9mie de Cr\C3\A9teil, CN = lyc-mozart-le-blanc-mesnil.ac-creteil.fr
   i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep 24 00:00:00 2022 GMT; NotAfter: Sep 24 23:59:59 2023 GMT
 1 s:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
   i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA384
   v:NotBefore: Nov  2 00:00:00 2018 GMT; NotAfter: Dec 31 23:59:59 2030 GMT
 2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
   i:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA384
   v:NotBefore: Mar 12 00:00:00 2019 GMT; NotAfter: Dec 31 23:59:59 2028 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHqzCCBpOgAwIBAgIQBud+2WAik/wRpPyYaMSDijANBgkqhkiG9w0BAQsFADCB
lTELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEYMBYGA1UEChMPU2VjdGlnbyBMaW1pdGVkMT0wOwYDVQQD
EzRTZWN0aWdvIFJTQSBPcmdhbml6YXRpb24gVmFsaWRhdGlvbiBTZWN1cmUgU2Vy
dmVyIENBMB4XDTIyMDkyNDAwMDAwMFoXDTIzMDkyNDIzNTk1OVoweTELMAkGA1UE
BhMCRlIxFzAVBgNVBAgMDsOObGUtZGUtRnJhbmNlMR4wHAYDVQQKDBVBY2Fkw6lt
aWUgZGUgQ3LDqXRlaWwxMTAvBgNVBAMTKGx5Yy1tb3phcnQtbGUtYmxhbmMtbWVz
bmlsLmFjLWNyZXRlaWwuZnIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB
AQC/PBaeb8dkJlCHXw2dHy9dSLDnu4bylUxFg+5qf6RwKIJEZIINBZlMLkG7eCZ8
3lCV5xnPZvAwlxSNk0CnRyJk8CtjH0taLSKcRNtuVLkhFVey39cApfTxNNDVbyLB
zJ53cIr9v22GY6vY6ywYR4IADU0ZWD2+8uGEdcJ8DCpZjnYOT5SAUWBrIHUMf5xc
uIJu1M3zRGS+kofDhfFI6stbGB83UFgbf1kaaV149+QDInHBbrdonhpN4leP01sL
+J5SBLo3YkUZlCAiUToL47v40+CdOE/fxRUMlgXrUc/xRDRBQdqcT3W4VmUGV0HU
htWHmbxHi4GxHXQnZEyQBxrjAgMBAAGjggQQMIIEDDAfBgNVHSMEGDAWgBQX2dYl
J2f5McJJQ9kwNkSMbKlP6zAdBgNVHQ4EFgQUtFUE7E2ijLt+7C5Gj/9krDm6MuYw
DgYDVR0PAQH/BAQDAgWgMAwGA1UdEwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUH
AwEGCCsGAQUFBwMCMEoGA1UdIARDMEEwNQYMKwYBBAGyMQECAQMEMCUwIwYIKwYB
BQUHAgEWF2h0dHBzOi8vc2VjdGlnby5jb20vQ1BTMAgGBmeBDAECAjBaBgNVHR8E
UzBRME+gTaBLhklodHRwOi8vY3JsLnNlY3RpZ28uY29tL1NlY3RpZ29SU0FPcmdh
bml6YXRpb25WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3JsMIGKBggrBgEFBQcB
AQR+MHwwVQYIKwYBBQUHMAKGSWh0dHA6Ly9jcnQuc2VjdGlnby5jb20vU2VjdGln
b1JTQU9yZ2FuaXphdGlvblZhbGlkYXRpb25TZWN1cmVTZXJ2ZXJDQS5jcnQwIwYI
KwYBBQUHMAGGF2h0dHA6Ly9vY3NwLnNlY3RpZ28uY29tMIIBfAYKKwYBBAHWeQIE
AgSCAWwEggFoAWYAdgCt9776fP8QyIudPZwePhhqtGcpXc+xDCTKhYY069yCigAA
AYNxTToJAAAEAwBHMEUCIF6+Tr5pWFTpb55ApceLKWxytNoeW1Jajnk3rYoXRPCZ
AiEAvyNYYMLe/bCuDz6q/MMnzZb7chJa/zbMH+rgPWkvKKQAdQB6MoxU2LcttiDq
OOBSHumEFnAyE4VNO9IrwTpXo1LrUgAAAYNxTTnbAAAEAwBGMEQCICfeq+ehCWZQ
3lbWlbYz5ktti+01kzEtdtSjCbeK+e7pAiBBChlJ0Mqt6Qu35kkrwhPvxJ+sI96x
QCe5QfN/pwWPQQB1AOg+0No+9QY1MudXKLyJa8kD08vREWvs62nhd31tBr1uAAAB
g3FNOaEAAAQDAEYwRAIgCa67UcIBO1On6t0IxrzUpFgC6X4YI4F4ppwf8wn8iUUC
IB3JAZd4RlQNFlsmyKon8fq0vfgLV6IPXnybmYrOgDztMIHXBgNVHREEgc8wgcyC
KGx5Yy1tb3phcnQtbGUtYmxhbmMtbWVzbmlsLmFjLWNyZXRlaWwuZnKCFjA5MzIw
MzRmLmFjLWNyZXRlaWwuZnKCLHB2ZS5seWMtbW96YXJ0LWxlLWJsYW5jLW1lc25p
bC5hYy1jcmV0ZWlsLmZygixzY28ubHljLW1vemFydC1sZS1ibGFuYy1tZXNuaWwu
YWMtY3JldGVpbC5mcoIsd2ViLmx5Yy1tb3phcnQtbGUtYmxhbmMtbWVzbmlsLmFj
LWNyZXRlaWwuZnIwDQYJKoZIhvcNAQELBQADggEBAFxYWo+rnTCoHF6Brygn9ex6
hrVgf/6NORwvLvDCQ5/8kkAggSZhU5ANvcgTnxQK0bZcgpYkpGsi2dnteqBK1Kzv
2m+zT9YCECLqPNSRiY6lrXiTsCf4p4R0eZUcIJfd7mKyqZa62d2SPoFbfbb/2Uf5
iJgqp5/foWF1n0zqy2Th36+TFHjnqD0qgOcM2or93jsZXkRVMUEiiWWQpVftR8Zx
VPyNwhqT/ZZOqlJ2afmaEI4R8H0K99pjBK6IwYiK4DoMBlaFI6X1rhKtb386MJrh
glzOTnAx06LJN0ydf8SClkUegPrerwBuRD0QfHpRZiUyLCK5TKeo0oZ2Cowmxh4=
-----END CERTIFICATE-----
subject=C = FR, ST = \C3\8Ele-de-France, O = Acad\C3\A9mie de Cr\C3\A9teil, CN = lyc-mozart-le-blanc-mesnil.ac-creteil.fr
issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 5592 bytes and written 409 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: C11731B1112D66737865C41FC19299599409FDB3D0DF0848D8101B971223B4D2
    Session-ID-ctx:
    Master-Key: 30EADC4A59135E1E51EBF05BD7F0BF2E69A8B813558F1537DF54D1687B70818DBFAD3EDB74D4A1F456257C9DD17FD8B5
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 59 b2 0e ee 12 dc 79 b8-6e 06 40 4c ec 84 b3 1e   Y.....y.n.@L....
    0010 - 9c 96 f1 03 d3 d1 fc 2e-27 b3 53 d0 6d b5 c3 58   ........'.S.m..X
    0020 - 9d 29 b5 1c 36 27 f2 30-d5 bf 1a ee fa de fb d1   .)..6'.0........
    0030 - fe 93 02 73 40 e9 e0 be-84 b6 04 c8 3f b5 51 14   ...s@.......?.Q.
    0040 - c4 32 74 8d ed be f7 4a-9b b4 d7 43 fe f1 33 3a   .2t....J...C..3:
    0050 - ba cd 24 1e 85 58 2d 58-a9 52 78 82 9b 07 62 7b   ..$..X-X.Rx...b{
    0060 - 43 ea 45 ee dd b0 cd e2-d5 7c e6 77 7a a1 25 63   C.E......|.wz.%c
    0070 - 0e d6 0d 56 7f b4 ed e2-d7 15 56 4b a6 b1 e4 ee   ...V......VK....
    0080 - cd 42 0b 47 cb 67 99 a4-b9 d6 f0 27 f8 32 0e 66   .B.G.g.....'.2.f
    0090 - ba ff 7c 27 0a 63 d5 b3-54 ef 47 5f 75 fb 51 e4   ..|'.c..T.G_u.Q.
    00a0 - ac 80 48 80 13 73 bc 39-1f 8a 5b b8 b7 7e 23 41   ..H..s.9..[..~#A

    Start Time: 1666358208
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: yes
---

Wiizard-Ubuntu · Le 21/10/2022, à 14:24

inbox a écrit :

Salut,
En recherchant "SSL_ERROR_BAD_CERT_Domain" j'ai trouvé cette page. A voir...
A+

J'avais déjà essayé. Le souci (enfin c'est une bonne chose en réalité) c'est que la plupart des sites sont en httpS et ne permettent plus de connexion en http seule.

Wiizard-Ubuntu · Le 21/10/2022, à 14:29

Je complète mon post :

J'ai tenté des pings et ils passent tous (google, wikipedia, qwant, IP locales).
Mais toujours impossible d'y accéder (sauf Google). Je peux accéder à Gmail jusqu'à ce que je valide mes id et mdp et là je retombe sur le même message d'erreur.

Un ami a un Ubuntu 22.04 installé mais sa connexion wifi fonctionne. Étrangeté : il devait configurer le proxy manuellement sur Firefox (la configuration auto ne fonctionnait pas) et là en faisant des tests, la configuration auto passe.
Moi c'est toujours non fonctionnel.

Dernière modification par Wiizard-Ubuntu (Le 21/10/2022, à 14:42)

iznobe · Le 21/10/2022, à 15:41

Bonjour , change de firefox , essaie avec la version deb a la place de la version snap : https://forum.ubuntu-fr.org/viewtopic.php?id=2074608

bruno · Le 21/10/2022, à 16:00

Il faut essayer en lançant Firefox avec un profil vierge :

firefox -P

Je suppose que le problème vient de l'enregistrement d'un ancien certificat du proxy dans Firefox (le certificat a apparemment changé le 24 sept 2022)

matrix-bx · Le 22/10/2022, à 01:31

Bonjour,

Je crains fort que le problème ne vienne du proxy qui ne devrait pas être sollicité pour du HTTPS ou répondre avec ce certificat.
C'est peut être également la faute du DNS si il donne l'adresse IP du proxy pour n'importe quel domaine interrogé, ça vaudrait le coup de vérifier et/ou d'essayer d'autres résolveurs pour voir.
J'arrive à reproduire le problème en trompant localement la résolution DNS.

$ grep lite.qwant.com /etc/hosts
194.167.42.151 lite.qwant.com      # lyc-mozart-le-blanc-mesnil.ac-creteil.fr

Puis en utilisant GnuTLS.

$ gnutls-cli lite.qwant.com
Processed 127 CA certificate(s).
Resolving 'lite.qwant.com:443'...
Connecting to '194.167.42.151:443'...         <========================= Adresse IP de lyc-mozart-le-blanc-mesnil.ac-creteil.fr
- Certificate type: X.509
- Got a certificate list of 3 certificates.
- Certificate[0] info:
 - subject `CN=lyc-mozart-le-blanc-mesnil.ac-creteil.fr,O=Académie de Créteil,ST=Île-de-France,C=FR', issuer `CN=Sectigo RSA Organization Validation Secure Server CA,O=Sectigo Limited,L=Salford,ST=Greater Manchester,C=GB', serial 0x06e77ed9602293fc11a4fc9868c4838a, RSA key 2048 bits, signed using RSA-SHA256, activated `2022-09-24 00:00:00 UTC', expires `2023-09-24 23:59:59 UTC', pin-sha256="RrM3gczgQuOCFSwDnRjbW4OWr+lzmFiOoMXev6uxZHI="
	Public Key ID:
		sha1:d8f6237f9677ec2844da25722496031f6d77e1aa
		sha256:46b33781cce042e382152c039d18db5b8396afe97398588ea0c5debfabb16472
	Public Key PIN:
		pin-sha256:RrM3gczgQuOCFSwDnRjbW4OWr+lzmFiOoMXev6uxZHI=

- Certificate[1] info:
 - subject `CN=Sectigo RSA Organization Validation Secure Server CA,O=Sectigo Limited,L=Salford,ST=Greater Manchester,C=GB', issuer `CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US', serial 0x137d539caa7c31a9a433701968847a8d, RSA key 2048 bits, signed using RSA-SHA384, activated `2018-11-02 00:00:00 UTC', expires `2030-12-31 23:59:59 UTC', pin-sha256="RkhWTcfJAQN/YxOR12VkPo+PhmIoSfWd/JVkg44einY="
- Certificate[2] info:
 - subject `CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US', issuer `CN=AAA Certificate Services,O=Comodo CA Limited,L=Salford,ST=Greater Manchester,C=GB', serial 0x3972443af922b751d7d36c10dd313595, RSA key 4096 bits, signed using RSA-SHA384, activated `2019-03-12 00:00:00 UTC', expires `2028-12-31 23:59:59 UTC', pin-sha256="x4QzPSC810K5/cMjb05Qm4k3Bw5zBn4lTdO/nEW/Td4="
- Status: The certificate is NOT trusted. The name in the certificate does not match the expected.  <=========================
*** PKI verification of server certificate failed...                                                <=========================
*** Fatal error: Error in the certificate.                                                          <=========================
$

Et je constate bien les erreurs mentionnées.
"Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN" dans firefox
"NET::ERR_CERT_COMMON_NAME_INVALID" dans chromium.

Ci après la connexion normale :

$ gnutls-cli lite.qwant.com
Processed 127 CA certificate(s).
Resolving 'lite.qwant.com:443'...
Connecting to '194.187.168.110:443'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
 - subject `CN=*.qwant.com', issuer `CN=Gandi Standard SSL CA 2,O=Gandi,L=Paris,ST=Paris,C=FR', serial 0x5d127d5e914103900201a1859d5e7ab0, EC/ECDSA key 256 bits, signed using RSA-SHA256, activated `2022-07-04 00:00:00 UTC', expires `2023-07-13 23:59:59 UTC', pin-sha256="ZyO9ATnrO1C11p8QQZ2m7tsGHqezlrmxRWQSRyJGJ28="
	Public Key ID:
		sha1:835613125df43336be9e174d1f20e5a8e4e50428
		sha256:6723bd0139eb3b50b5d69f10419da6eedb061ea7b396b9b1456412472246276f
	Public Key PIN:
		pin-sha256:ZyO9ATnrO1C11p8QQZ2m7tsGHqezlrmxRWQSRyJGJ28=

- Certificate[1] info:
 - subject `CN=Gandi Standard SSL CA 2,O=Gandi,L=Paris,ST=Paris,C=FR', issuer `CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US', serial 0x05e4dc3b9438ab3b8597cba6a19850e3, RSA key 2048 bits, signed using RSA-SHA384, activated `2014-09-12 00:00:00 UTC', expires `2024-09-11 23:59:59 UTC', pin-sha256="WGJkyYjx1QMdMe0UqlyOKXtydPDVrk7sl2fV+nNm1r4="
- Status: The certificate is trusted. .                                                                                                 <=========================
- Description: (TLS1.2-X.509)-(ECDHE-SECP256R1)-(ECDSA-SHA512)-(AES-256-GCM)
- Session ID: CE:66:EA:80:AD:A7:FA:7F:3B:D7:B3:F2:26:FF:3B:22:FE:B6:59:3B:AD:83:BF:1A:21:17:7A:1A:D0:A4:9B:62
- Options: extended master secret, safe renegotiation,
- Handshake was completed

- Simple Client Mode:

^C
$

Dernière modification par matrix-bx (Le 22/10/2022, à 01:55)

inbox · Le 22/10/2022, à 17:09

Dans Paramètres => Réseau => Serveur mandataire, comment est-ce configuré ?

Peux-tu donner le retour de cette commande ?

dpkg -l | grep ca-certificates

Dernière modification par inbox (Le 22/10/2022, à 17:15)

Wiizard-Ubuntu · Le 22/10/2022, à 17:35

@iznobe
Je ne pense pas que changer de version de Firefox règle le souci vu que je l'ai aussi avec Chromium. Je pense que c'est un souci plus général. Qu'en penses tu ? Je testerai tout de même ta proposition mais pas avant 2 semaines car mon établissement est fermé.

@bruno
Vu que j'ai réinstallé de zéro ma distribution, je pense qu'on peut mettre de côté l'enregistrement d'un ancien certificat. Mais je testerai tout de même quand mon établissement aura réouvert.

@inbox
Le serveur mandataire est désactivé. Mais j'ai aussi essayé en le configurant manuellement sans succès. Pour la commande proposée, ce sera pour dans 2 semaine (oui je sais c'est un peu bête de ma part d'avoir demandé de l'aide le jour précédant la fermeture de mon établissement, désolé.

@matrix-bx
Si c'est ce que tu penses, c'est résolvable selon toi ou c'est plutôt laisse tomber ? Je devrai lancer quelles commandes pour tester ta proposition ?

iznobe · Le 22/10/2022, à 18:29

Bonsoir , chromium et firefox sont installés par defaut en snap . a tester avec un 3eme navigateur , pas installé au format snap peut etre . ca serait plus simple probablement .

Desolé pour les fautes et les accents ...

Bonnes vacances

Dernière modification par iznobe (Le 22/10/2022, à 18:29)

matrix-bx · Le 22/10/2022, à 18:44

Wiizard-Ubuntu a écrit :

@matrix-bx
Si c'est ce que tu penses, c'est résolvable selon toi ou c'est plutôt laisse tomber ? Je devrai lancer quelles commandes pour tester ta proposition ?

De mon point de vu il faut arriver à faire corriger la configuration du proxy qui ne me semble ni pertinente ni adaptée.
Le certificat datant en gros du 24 Septembre 2022, elle a due être modifiée vers cette date là.

Sauf que ce certificat n'est pas celui qu'il faut présenter pour autre chose que le domaine "CN=lyc-mozart-le-blanc-mesnil.ac-creteil.fr" puisqu'il n'est factuellement valide que pour celui-ci.
Un petit mail vers la DSI avec copie vers la direction pour signaler le problème rencontré et en demander la correction me semble tout indiqué.

En attendant, pour savoir si c'est le résolveur DNS qui renvoi vers le proxy ou non, vous pouvez essayer les commandes suivantes :

$ host lite.qwant.com
lite.qwant.com has address 194.187.168.110

ou

$ nslookup lite.qwant.com
...
Non-authoritative answer:
Name:	lite.qwant.com
Address: 194.187.168.110

ou encore

$ dig +short lite.qwant.com
194.187.168.110

Si vous obtenez une autre adresse IP, notamment celle du proxy il faut essayer d'interroger d'autres résolveurs pour voir si ils sont joignables, par exemple :

$ host lite.qwant.com 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases: 

lite.qwant.com has address 194.187.168.110

$ nslookup lite.qwant.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	lite.qwant.com
Address: 194.187.168.110

$ dig +short lite.qwant.com @9.9.9.9
194.187.168.110

Si vous obtenez une réponse, et si c'est la bonne adresse, c'est que le trafic DNS n'est pas bloqué.
C'est très peu probable, mais simplement changer de résolveur DNS pourrait suffire si le trafic n'est pas filtré en sortie (on peut toujours rêver).

Sinon, si ça ne suffit pas pour que vous puissiez vous connecter directement vers l'extérieur sans passer par le proxy, il faudra éventuellement forcer un peu le passage en creusant un tunnel au dessus de ce qui est permis en sortie (peut être le DNS ou l'icmp puisque vous avez indiqué que les pings passaient), et pour cela il faudra un serveur extérieur où rebondir.
Pour déterminer ce qui arrive éventuellement à sortir, vous pouvez essayer d'utiliser :

nmap 185.233.100.113

Ce service (quand il fonctionne) répond simplement sur tout les ports où il est sollicité.
En fonction des ports vu "ouverts" il sera envisageable de construire un tunnel vers un serveur sur un de ces ports.
Bref, c'est pas gagné.

Bon WE.

Dernière modification par matrix-bx (Le 22/10/2022, à 18:55)

Wiizard-Ubuntu · Le 10/11/2022, à 10:47

Bonjour tout le monde, je suis de retour sur mon problème de connexion.

J'ai désinstallé Firefox (snap) et je l'ai réinstallé depuis le ppa mais je suis toujours bloqué.

J'ai testé les commandes proposées :

$ dpkg -l | grep ca-certificates
ii  ca-certificates                               20211016                                    all          Common CA certificates

2ème commande

$ host lite.qwant.com
lite.qwant.com has address 194.187.168.110

3ème commande

$ nslookup lite.qwant.com
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   lite.qwant.com
Address: 194.187.168.110

Dernière commande

$ dig +short lite.qwant.com
194.187.168.110

Cela me semble donc correct.

Dernière modification par Wiizard-Ubuntu (Le 10/11/2022, à 10:49)

matrix-bx · Le 10/11/2022, à 11:06

Bonjour,

effectivement ça semble correct,.
Pourriez-vous nous montrer la config de Firefox, Édition/Paramètres/Général/Paramètres réseau/Paramètres ?

Wiizard-Ubuntu · Le 17/11/2022, à 10:05

La config de mon Firefox : détection automatique des paramètres de proxy pour ce réseau
Rien d'autre de configuré ou de coché.

iznobe · Le 17/11/2022, à 10:43

Wiizard-Ubuntu a écrit :

Bonjour tout le monde, je suis de retour sur mon problème de connexion.
J'ai désinstallé Firefox (snap) et je l'ai réinstallé depuis le ppa mais je suis toujours bloqué.

Bonjour , si tu as fais cela depuis l' ordi en question avec l' acces internet en question , cela prouve que l' internet fonctionne correctement , comme l' atteste d ' ailleurs le retour des commandes .

dans la config reseau de firefox tu as 2 autres parametres a tester :
" utiliser les parametres proxy du systeme " et " pas de proxy " , ca ne m ' etonnerait pas que ca vienne de là .

Wiizard-Ubuntu · Le 22/11/2022, à 11:30

iznobe a écrit :

Bonjour , si tu as fais cela depuis l' ordi en question avec l' acces internet en question , cela prouve que l' internet fonctionne correctement , comme l' atteste d ' ailleurs le retour des commandes .
dans la config reseau de firefox tu as 2 autres parametres a tester :
" utiliser les parametres proxy du systeme " et " pas de proxy " , ca ne m ' etonnerait pas que ca vienne de là .

Pour l'installation, je l'ai faite depuis le partage de connexion de mon téléphone car depuis le WiFi de mon établissement ça ne marchait pas.
J'ai aussi testé les autres configs du proxy dans Firefox mais cela ne fonctionne pas.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/10/2022, à 09:20

Connexion bloquée - problème de sécurité

#2 Le 21/10/2022, à 10:21

Re : Connexion bloquée - problème de sécurité

#3 Le 21/10/2022, à 11:32

Re : Connexion bloquée - problème de sécurité

#4 Le 21/10/2022, à 14:20

Re : Connexion bloquée - problème de sécurité

#5 Le 21/10/2022, à 14:24

Re : Connexion bloquée - problème de sécurité

#6 Le 21/10/2022, à 14:29

Re : Connexion bloquée - problème de sécurité

#7 Le 21/10/2022, à 15:41

Re : Connexion bloquée - problème de sécurité

#8 Le 21/10/2022, à 16:00

Re : Connexion bloquée - problème de sécurité

#9 Le 22/10/2022, à 01:31

Re : Connexion bloquée - problème de sécurité

#10 Le 22/10/2022, à 17:09

Re : Connexion bloquée - problème de sécurité

#11 Le 22/10/2022, à 17:35

Re : Connexion bloquée - problème de sécurité

#12 Le 22/10/2022, à 18:29

Re : Connexion bloquée - problème de sécurité

#13 Le 22/10/2022, à 18:44

Re : Connexion bloquée - problème de sécurité

#14 Le 10/11/2022, à 10:47

Re : Connexion bloquée - problème de sécurité

#15 Le 10/11/2022, à 11:06

Re : Connexion bloquée - problème de sécurité

#16 Le 17/11/2022, à 10:05

Re : Connexion bloquée - problème de sécurité

#17 Le 17/11/2022, à 10:43

Re : Connexion bloquée - problème de sécurité

#18 Le 22/11/2022, à 11:30

Re : Connexion bloquée - problème de sécurité

Pied de page des forums