Aller au contenu

Problème de certificat pour accéder a un site


Gigatoaster

Messages recommandés

C'est un problème avec le FAI et non avec le site. Cela vient du fait que le site utilise HTTP Strict Transport Securtiy (HSTS) pour forcer le navigateur à toujours utiliser HTTPS (sous entendu avec un certificat valide) pour accèder au site.

 

Visiblement, le FAI UPC intercepte parfois les connexions vers ce site, probablement avec un DNS menteur, et répond à la place du site avec son propre certificat auto-signé (dont le domaine de validité est advice.upc.biz, comme l'indique l'avertissement). C'est une mauvaise pratique dont l'objectif est sans doute d'afficher une page indiquant que le site est bloqué, mais en pratique Firefox fait ce qu'il doit faire, affiche un avertissement, et comme le site a demandé à activer HSTS par le passé, il ne propose pas de contourner l'avertissement, car cela aboutirait à une connexion non sécurisée. Ce comportement est normal, le contourner présente des risques de sécurité, et ici, en contournant ce message on aboutirait à une page chez l'opérateur et non la page du site désirée.

 

La solution la plus simple est d'utiliser un DNS qui ne ment pas (OpenDNS ou Google par exemple), si ça ne marche pas, cela indique que le FAI fait de la DPI, ce qui oblige à utilise un VPN voire à changer de FAI pour un plus respectueux, si possible.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Il y a une explication ? Car quand on met en place un tel système c'est soit ça passe soit ça passe pas, non?
 

et théorie, si c'est un dns menteur oui, une fois en place (et que les cache dns sont expiré), ca ne passe plus ... maintenant faut voir quel conneries ils ont fait pour arriver à un tel resultat :p

Lien vers le commentaire
Partager sur d’autres sites

je vais expliquer un peu pourquoi je n'aime pas open dns, lorsque l'on fait une recherche qui n'est pas "bonne" ils nous dirigent vers une page de recherche de leur cru, tu es sous mac visiblement, commence déjà par voir si c'est mieux pour toi en mettant des dnc comme open nic, tiens nous au jus ;)

Lien vers le commentaire
Partager sur d’autres sites

c'est vrai que opendns est menteur mais ca peux aussi avoir des avantage :

chez moi, j'ai un serveur dns, et donc, pour mes enfants, les recherche sont forwarder vers opendns safe browsing avec donc blocage dns pour tous les site un peu suspect ;)

et pour moi, full access bien sur via d'autres serveurs

 

c'est une première ligne de défense pratique ;)

Lien vers le commentaire
Partager sur d’autres sites

Pour info la page s'affiche une fois sur 10. En faisant F5, parfois j'accède au site.

 

Tu peux installer ton propre résolveur (unbound sous Linux - typiquement sur un Rpi - est simple à utiliser et si ton FAI te laisse changer les serveurs DNS dans le DHCP permet d'arroser tout le réseau local) ou si mettre les mains dans le cambouis t’ennuies, passer par des résolveurs ouverts et "gentils" comme ceux que proposent certains FAI de la FFDN ou encore installe Tor Browser.

 

En tout cas, c'est cool de voir HSTS fonctionner :yes: (Je l'utilise sur mon site, mais les gouvernements/FAI n'ont pas encore jugé digne de me bloquer :D)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...