Mic13710 Posté(e) le 23 juillet 2017 Partager Posté(e) le 23 juillet 2017 Bonjour le forum, Je me bats depuis 2 ou 3 jours pour tenter de faire fonctionner mes applications DS sur une ancienne tablette Samsung sous Android 4.4 et je n'y arrive pas car le certificat Let's Encrypt n'est pas reconnu. J'ai le message : "Le certificat SSL du DiskStation n'est pas fiable. blablabla....", un appui sur le bouton OK et ça ne va pas plus loin. Impossible d'outre passer le blocage (je crois que ce n'est pas autorisé sous Android). De ce que j'ai compris des Certificats Let's Encrypt c'est qu'ils sont signés à la fois par Let's Encrypt (ISRG Root X1) et par IdenTrust (DST Root CA X3) afin qu'ils puissent être reconnus par la majorité des navigateurs car Let's Encrypt est trop récent pour être inclus dans les navigateurs plus anciens (mon cas). Il se trouve que DST Root CA X3 est inclus dans Android depuis la 2.3.6. J'ai vérifié et il est bien inclus et activé dans ma tablette. Et donc pourquoi ce refus de mon certificat ? Mystère. Comme il y a deux certificats intermédiaires distincts chez Let's Encrypt, un pour ISRG Root X1 et un autre co-signé par IdenTrust, je me demande si mon certificat inclus réellement la signature d'IdenTrust. Seulement voilà, je ne sais pas où et comment je peux le vérifier. Quand je consulte mon certificat sur le site https://crt.sh il n'est nulle part fait mention d'IdenTrust. Normal ? Pas normal ? Je ne sais pas. Quelqu'un a-t'il réussi à résoudre ce problème d'authentification ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 23 juillet 2017 Partager Posté(e) le 23 juillet 2017 Tu peux ajouter des autorités de certification dans Android (je le fais pour ma propre autorité). Tu peux aussi passer outre les alertes de certificats (en tout cas avec firefox). Mais à mon avis ton problème est que tu n'as pas inclus la chaine de certification dans ton serveur web (ton syno). Tu dois (c'est la norme) inclure tous les certificats intermédiaire. Je ne sais pas si le syno le fait tout seul par contre (il devrait). Tu peux tester avec https://www.ssllabs.com/ssltest/ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 24 juillet 2017 Auteur Partager Posté(e) le 24 juillet 2017 Merci Fenrir pour ta réponse. Les applis sont contrôlées uniquement à partir des autorités de certification incluses dans Android. Impossible de passer outre si le certificat présenté n'est pas supporté. Je sais qu'on peut rajouter des certificats mais ceux de LE ne sont valables que 90 jours et même moins avec les renouvellements automatiques. Je ne voudrais pas avoir à le faire à chaque fois et surtout à me retrouver hors de chez avec un certif périmé qui m'empêcherait de me connecter. J'ai vu qu'on peut aussi rajouter des certificats CA mais je crois comprendre qu'ils ne sont pas toujours utilisés par les applications. Peut-être que les DS le font, je n'en sais rien. A ce propos, je ne sais pas où je peux trouver celui de LE (le fameux ISRG Root X1) ni comment l'inclure dans Android. Il y a 12 heures, Fenrir a dit : Tu peux tester avec https://www.ssllabs.com/ssltest/ J'ai testé mon domaine avec ssllabs (non sans avoir désactivé le pare feu) et à priori je ne vois rien qui cloche. Le niveau général est noté A. Le certificat additionnel LE X3 est bien fourni et il est noté comme délivré par DST Root CA X3. Dans le path des certificats, mon nom de domaine ainsi que le LE X3 sont bien envoyé par le serveur, celui de DST Root CA X3 par contre est noté "in trust store". Dois-je comprendre qu'il n'est pas fourni par le serveur, et est-ce que dans ce cas c'est le client qui, en recevant le LE X3, va rechercher l’émetteur, en l’occurrence DST Root CA X3 ? Enfin dans le "Handshake simulation" Android 4.4.2 est bien validé. A noter que nulle part il n'est fait mention de la certification ISRG Root X1 propre à LE. Ça voudrait dire à priori que LE ne l'utilise pas (pour l'instant) et de le rajouter à la liste ne résoudrait pas mon problème de connexion. Bref, j'ai du mal à comprendre pourquoi ça bloque. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 24 juillet 2017 Partager Posté(e) le 24 juillet 2017 Je n'ai pas d'android 4.4 pour tester, mais normalement tu devrais pouvoir installer le certificat intermédiaire. Il est aussi possible que le pb soit tout autre. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 24 juillet 2017 Auteur Partager Posté(e) le 24 juillet 2017 Il y a 3 heures, Fenrir a dit : mais normalement tu devrais pouvoir installer le certificat intermédiaire C'est aussi un peu le problème. Dans l'aide Android pour installer un nouveau certificat il est dit : Android accepte les certificats X.509 encodés au format DER et enregistrés dans des fichiers .crt ou .cer. J'arrive bien a avoir un .crt en exportant le certificat à partir de Firefox mais c'est celui complet avec mon nom de domaine et donc limité dans le temps. Sais-tu où on peut récupérer le certificat intermédiaire dans ces formats de fichiers ? Car sur le site LE le lien https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt n'est qu'un fichier texte. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 24 juillet 2017 Partager Posté(e) le 24 juillet 2017 Dans Firefox, affiche le certificat->Détails, sélectionne l'autorité intermédiaire->Exporter --- Je te le mets ici : Let'sEncryptAuthorityX3.crt -----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8 SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0 Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/ wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6 KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE----- 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 24 juillet 2017 Auteur Partager Posté(e) le 24 juillet 2017 Comme quoi mieux vaut un qui sait que dix qui cherchent. Je n'avais pas remarqué cette subtilité pourtant si évidente. Merci Fenrir. Je viens d'exporter le certificat et malheureusement ça n'a pas résolu mon problème. J'ai essayé en désactivant puis réactivant le certificat DST Root CA X3, toujours pareil. J'ai essayé de charger le certificat de mon domaine, ça ne change rien. En parallèle, je n'ai aucun problème avec mon smartphone ou celui de ma femme. Il y a juste cette tablette qui fait de la résistance. Il y a manifestement autre chose qui bloque mais je ne vois pas quoi. Edit : Cette tablette fonctionnait bien à l'époque où j'utilisais les certificats startcom. Ce n'est que depuis LE que le problème est apparu, donc clairement à cause du certificat. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 24 juillet 2017 Partager Posté(e) le 24 juillet 2017 C'est curieux. Avec le navigateur de ton android, tu as la même erreur ? oui => pb avec les certificats de ta tablette (quel modèle ?) non => pb avec les appli Syno sur les vieux android 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 25 juillet 2017 Auteur Partager Posté(e) le 25 juillet 2017 Avec le navigateur de la tablette même problème (refus de connexion). Pas de problème particulier avec les applications DS lorsque je passe en direct (IP du NAS) sans https. Pas de problème non plus avec Firefox (normal puisque le certificat principal LE est reconnu). Ma tablette est une Samsung Tab3 avec Android 4.4.2. Elle a 3 ans à peine et elle devrait normalement être capable d'accepter le certificat intermédiaire signé par IdenTrust. L'autorité est présente dans la liste des certificats acceptés et j'ai rajouté le certificat intermédiaire LE dans l'onglet utilisateur, mais ça ne fonctionne pas. J'ai fait d'autres essais et les résultats sont assez déroutants : Si je tente de me connecter au site IdenTrust, la page s'ouvre mais le cadenas est affiché ouvert et j'ai un message sur la page web qui me dit que je suis connecté aux serveurs IdenTrust en TLS 1.0 qui est considéré comme vulnérable aux attaques, et Qu'IdenTrust abandonnera le support de TLS1.0 à partir du 24 juin (hier !). Dans le détail du certificat il est dit qu'il ne provient pas d'une autorité fiable. Nom du certificat : TrustID Server CA A52. L'ennui c'est que je ne trouve pas ce certificat dans la liste .... Alors pourquoi la connexion est possible ? Et pourtant, si je tente de me connecter au site LE ou à des sites certifiés par LE il n'y a aucun problème puisque : Avec le certificat intermédiaire en inhibant le certificat intégré : OK Avec le certificat intégré seul (intermédiaire supprimé) : OK Sans l'un ni l'autre : pas OK Dès lors, je ne vois pas bien comment mes certificats LE qui utilisent en principe les mêmes empreintes sont refusés sur cette tablette et pas sur mes smartphones. Bref, je suis perdu dans ces histoires de certificats. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 25 juillet 2017 Partager Posté(e) le 25 juillet 2017 https://ip.fenrir.fr c'est un certificat LE, test avec le navigateur intégré 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 25 juillet 2017 Auteur Partager Posté(e) le 25 juillet 2017 Même message que pour mon site : "impossible d'établir une connexion sécurisée." 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 25 juillet 2017 Partager Posté(e) le 25 juillet 2017 Donc ce n'est pas la manière dont syno créé ou présente les certificats. Le certificat racine est bien présent sur ton android ? Certificate: Data: Version: 3 (0x2) Serial Number: 44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b Signature Algorithm: sha1WithRSAEncryption Issuer: O=Digital Signature Trust Co., CN=DST Root CA X3 Validity Not Before: Sep 30 21:12:19 2000 GMT Not After : Sep 30 14:01:15 2021 GMT Subject: O=Digital Signature Trust Co., CN=DST Root CA X3 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:df:af:e9:97:50:08:83:57:b4:cc:62:65:f6:90: 82:ec:c7:d3:2c:6b:30:ca:5b:ec:d9:c3:7d:c7:40: c1:18:14:8b:e0:e8:33:76:49:2a:e3:3f:21:49:93: ac:4e:0e:af:3e:48:cb:65:ee:fc:d3:21:0f:65:d2: 2a:d9:32:8f:8c:e5:f7:77:b0:12:7b:b5:95:c0:89: a3:a9:ba:ed:73:2e:7a:0c:06:32:83:a2:7e:8a:14: 30:cd:11:a0:e1:2a:38:b9:79:0a:31:fd:50:bd:80: 65:df:b7:51:63:83:c8:e2:88:61:ea:4b:61:81:ec: 52:6b:b9:a2:e2:4b:1a:28:9f:48:a3:9e:0c:da:09: 8e:3e:17:2e:1e:dd:20:df:5b:c6:2a:8a:ab:2e:bd: 70:ad:c5:0b:1a:25:90:74:72:c5:7b:6a:ab:34:d6: 30:89:ff:e5:68:13:7b:54:0b:c8:d6:ae:ec:5a:9c: 92:1e:3d:64:b3:8c:c6:df:bf:c9:41:70:ec:16:72: d5:26:ec:38:55:39:43:d0:fc:fd:18:5c:40:f1:97: eb:d5:9a:9b:8d:1d:ba:da:25:b9:c6:d8:df:c1:15: 02:3a:ab:da:6e:f1:3e:2e:f5:5c:08:9c:3c:d6:83: 69:e4:10:9b:19:2a:b6:29:57:e3:e5:3d:9b:9f:f0: 02:5d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Subject Key Identifier: C4:A7:B1:A4:7B:2C:71:FA:DB:E1:4B:90:75:FF:C4:15:60:85:89:10 Signature Algorithm: sha1WithRSAEncryption a3:1a:2c:9b:17:00:5c:a9:1e:ee:28:66:37:3a:bf:83:c7:3f: 4b:c3:09:a0:95:20:5d:e3:d9:59:44:d2:3e:0d:3e:bd:8a:4b: a0:74:1f:ce:10:82:9c:74:1a:1d:7e:98:1a:dd:cb:13:4b:b3: 20:44:e4:91:e9:cc:fc:7d:a5:db:6a:e5:fe:e6:fd:e0:4e:dd: b7:00:3a:b5:70:49:af:f2:e5:eb:02:f1:d1:02:8b:19:cb:94: 3a:5e:48:c4:18:1e:58:19:5f:1e:02:5a:f0:0c:f1:b1:ad:a9: dc:59:86:8b:6e:e9:91:f5:86:ca:fa:b9:66:33:aa:59:5b:ce: e2:a7:16:73:47:cb:2b:cc:99:b0:37:48:cf:e3:56:4b:f5:cf: 0f:0c:72:32:87:c6:f0:44:bb:53:72:6d:43:f5:26:48:9a:52: 67:b7:58:ab:fe:67:76:71:78:db:0d:a2:56:14:13:39:24:31: 85:a2:a8:02:5a:30:47:e1:dd:50:07:bc:02:09:90:00:eb:64: 63:60:9b:16:bc:88:c9:12:e6:d2:7d:91:8b:f9:3d:32:8d:65: b4:e9:7c:b1:57:76:ea:c5:b6:28:39:bf:15:65:1c:c8:f6:77: 96:6a:0a:8d:77:0b:d8:91:0b:04:8e:07:db:29:b6:0a:ee:9d: 82:35:35:10 -----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ -----END CERTIFICATE----- Sinon root la tablette, de toute manière elle n'a plus de mise à jour 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 25 juillet 2017 Auteur Partager Posté(e) le 25 juillet 2017 Les seules choses que j'arrive à vérifier sont le N° de série, le CN, l'Organisation et la validité. Tout est identique à la copie ci-dessus. Pour le reste, j'ai les empreintes SHA-256 et SHA-1 mais pas dans la même notation donc difficile (pour moi) de comparer. On peut tout de même supposer qu'au regard des éléments comparables, les certificats sont identiques. Rooter ? pourquoi pas mais c'est la tablette de ma femme et si elle ne retrouve pas tout exactement comme maintenant, je vais me faire incendier grave, surtout que je n'ai aucune assurance que ça résolve le problème d'autant que le retour en arrière n'est pas possible. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 25 juillet 2017 Partager Posté(e) le 25 juillet 2017 En rootant c'est certain que tu arriveras à corriger le problème et le retour arrière est possible. Par contre c'est vrai que selon le type de tablette, le fait de la rooter risque de tout effacer ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.