Problème de certificat pour accéder a un site

[Gigatoaster]

Bonjour

 

 

Lorsque je veux accéder sur ce site, parfois cette page apparait. Je pense que c'est parce que je suis chez UPC (provider irlandais) qui bloque les sites torrents. Il me suffit de relancer la page plusieurs fois pour y accéder. Néanmoins, peut-on supprimer ce message de la part de firefox?

[RinDman]

Bizarre, il te propose pas la fameuse ligne : je comprends le risque et ajouter une exception ?

[luinil]

ça semble plus être un problème avec le site que tu vas voir que ton fai je pense. Il faudrait qu'ils corrigent leur certificat. 

Par contre oui je sais pas pourquoi il te permet pas de voir le site malgré tout.

[ChapelierFou]

C'est un problème avec le FAI et non avec le site. Cela vient du fait que le site utilise HTTP Strict Transport Securtiy (HSTS) pour forcer le navigateur à toujours utiliser HTTPS (sous entendu avec un certificat valide) pour accèder au site.

 

Visiblement, le FAI UPC intercepte parfois les connexions vers ce site, probablement avec un DNS menteur, et répond à la place du site avec son propre certificat auto-signé (dont le domaine de validité est advice.upc.biz, comme l'indique l'avertissement). C'est une mauvaise pratique dont l'objectif est sans doute d'afficher une page indiquant que le site est bloqué, mais en pratique Firefox fait ce qu'il doit faire, affiche un avertissement, et comme le site a demandé à activer HSTS par le passé, il ne propose pas de contourner l'avertissement, car cela aboutirait à une connexion non sécurisée. Ce comportement est normal, le contourner présente des risques de sécurité, et ici, en contournant ce message on aboutirait à une page chez l'opérateur et non la page du site désirée.

 

La solution la plus simple est d'utiliser un DNS qui ne ment pas (OpenDNS ou Google par exemple), si ça ne marche pas, cela indique que le FAI fait de la DPI, ce qui oblige à utilise un VPN voire à changer de FAI pour un plus respectueux, si possible.

[gallean]

j'aurais plus conseillé open nic comme dns, ou sous firefox d'utiliser zenmate (ou les deux)

[Gigatoaster]

Wow merci pour les explications et quelle maîtrise technique!

Pour info la page s'affiche une fois sur 10. En faisant F5, parfois j'accède au site.

Il y a une explication ? Car quand on met en place un tel système c'est soit ça passe soit ça passe pas, non?

[gaetan.cambier]

Il y a une explication ? Car quand on met en place un tel système c'est soit ça passe soit ça passe pas, non?

 

et théorie, si c'est un dns menteur oui, une fois en place (et que les cache dns sont expiré), ca ne passe plus ... maintenant faut voir quel conneries ils ont fait pour arriver à un tel resultat

[gallean]

je vais expliquer un peu pourquoi je n'aime pas open dns, lorsque l'on fait une recherche qui n'est pas "bonne" ils nous dirigent vers une page de recherche de leur cru, tu es sous mac visiblement, commence déjà par voir si c'est mieux pour toi en mettant des dnc comme open nic, tiens nous au jus

[gaetan.cambier]

c'est vrai que opendns est menteur mais ca peux aussi avoir des avantage :

chez moi, j'ai un serveur dns, et donc, pour mes enfants, les recherche sont forwarder vers opendns safe browsing avec donc blocage dns pour tous les site un peu suspect

et pour moi, full access bien sur via d'autres serveurs

 

c'est une première ligne de défense pratique

[John Shaft]

Pour info la page s'affiche une fois sur 10. En faisant F5, parfois j'accède au site.

 

Tu peux installer ton propre résolveur (unbound sous Linux - typiquement sur un Rpi - est simple à utiliser et si ton FAI te laisse changer les serveurs DNS dans le DHCP permet d'arroser tout le réseau local) ou si mettre les mains dans le cambouis t’ennuies, passer par des résolveurs ouverts et "gentils" comme ceux que proposent certains FAI de la FFDN ou encore installe Tor Browser.

 

En tout cas, c'est cool de voir HSTS fonctionner (Je l'utilise sur mon site, mais les gouvernements/FAI n'ont pas encore jugé digne de me bloquer )

[CaseyN]

Mais les FAI ne permettent pas toujours de changer les DNS en IPv4 et en IPv6 (Free par exemple, j'ai ma liste de DNS personnelle sur le V4 mais en V6 faut changer par machine. C'est très chiant.