Jump to content

Problème de certificat pour accéder a un site


Gigatoaster

Recommended Posts

Bonjour

 

893995Capturede769cran20150712a768131246

 

Lorsque je veux accéder sur ce site, parfois cette page apparait. Je pense que c'est parce que je suis chez UPC (provider irlandais) qui bloque les sites torrents. Il me suffit de relancer la page plusieurs fois pour y accéder. Néanmoins, peut-on supprimer ce message de la part de firefox?

Link to comment
Share on other sites

ça semble plus être un problème avec le site que tu vas voir que ton fai je pense. Il faudrait qu'ils corrigent leur certificat. 

Par contre oui je sais pas pourquoi il te permet pas de voir le site malgré tout.

Link to comment
Share on other sites

C'est un problème avec le FAI et non avec le site. Cela vient du fait que le site utilise HTTP Strict Transport Securtiy (HSTS) pour forcer le navigateur à toujours utiliser HTTPS (sous entendu avec un certificat valide) pour accèder au site.

 

Visiblement, le FAI UPC intercepte parfois les connexions vers ce site, probablement avec un DNS menteur, et répond à la place du site avec son propre certificat auto-signé (dont le domaine de validité est advice.upc.biz, comme l'indique l'avertissement). C'est une mauvaise pratique dont l'objectif est sans doute d'afficher une page indiquant que le site est bloqué, mais en pratique Firefox fait ce qu'il doit faire, affiche un avertissement, et comme le site a demandé à activer HSTS par le passé, il ne propose pas de contourner l'avertissement, car cela aboutirait à une connexion non sécurisée. Ce comportement est normal, le contourner présente des risques de sécurité, et ici, en contournant ce message on aboutirait à une page chez l'opérateur et non la page du site désirée.

 

La solution la plus simple est d'utiliser un DNS qui ne ment pas (OpenDNS ou Google par exemple), si ça ne marche pas, cela indique que le FAI fait de la DPI, ce qui oblige à utilise un VPN voire à changer de FAI pour un plus respectueux, si possible.

Link to comment
Share on other sites

  • 2 months later...

Wow merci pour les explications et quelle maîtrise technique!

Pour info la page s'affiche une fois sur 10. En faisant F5, parfois j'accède au site.

Il y a une explication ? Car quand on met en place un tel système c'est soit ça passe soit ça passe pas, non?

Link to comment
Share on other sites

Il y a une explication ? Car quand on met en place un tel système c'est soit ça passe soit ça passe pas, non?
 

et théorie, si c'est un dns menteur oui, une fois en place (et que les cache dns sont expiré), ca ne passe plus ... maintenant faut voir quel conneries ils ont fait pour arriver à un tel resultat :p

Link to comment
Share on other sites

je vais expliquer un peu pourquoi je n'aime pas open dns, lorsque l'on fait une recherche qui n'est pas "bonne" ils nous dirigent vers une page de recherche de leur cru, tu es sous mac visiblement, commence déjà par voir si c'est mieux pour toi en mettant des dnc comme open nic, tiens nous au jus ;)

Link to comment
Share on other sites

c'est vrai que opendns est menteur mais ca peux aussi avoir des avantage :

chez moi, j'ai un serveur dns, et donc, pour mes enfants, les recherche sont forwarder vers opendns safe browsing avec donc blocage dns pour tous les site un peu suspect ;)

et pour moi, full access bien sur via d'autres serveurs

 

c'est une première ligne de défense pratique ;)

Link to comment
Share on other sites

Pour info la page s'affiche une fois sur 10. En faisant F5, parfois j'accède au site.

 

Tu peux installer ton propre résolveur (unbound sous Linux - typiquement sur un Rpi - est simple à utiliser et si ton FAI te laisse changer les serveurs DNS dans le DHCP permet d'arroser tout le réseau local) ou si mettre les mains dans le cambouis t’ennuies, passer par des résolveurs ouverts et "gentils" comme ceux que proposent certains FAI de la FFDN ou encore installe Tor Browser.

 

En tout cas, c'est cool de voir HSTS fonctionner :yes: (Je l'utilise sur mon site, mais les gouvernements/FAI n'ont pas encore jugé digne de me bloquer :D)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...