Aller au contenu

[Résolu] HSTS ... qui ne veut pas se désactiver.


Messages recommandés

Hello,

Petit soucis depuis ce matin mon NAS redirige toutes les adresses HTTP de format "domain.com" vers du HTTPS. Le problème a moins de 15 jours puisque je ne l'avais pas depuis mon lieu de vacances ... La chose est parfaitement normale pour les adresses comme l'accès au DSM mais par contre me faire cela pour des sites installés à la mano dans le /web ou avec des paquets comme sonarr ???? WTF ! :mellow:

Je me balade pour trouver une solution et :

1/ http:// domaine.com:8989 donne https:// domaine.com:8989 il redirige tout vers https, les paquets, les sites web, ... même la page video station pour laquelle j'ai spécifiée un port HTTP
2/ 192.168.xxx.xxx:8989 donne 192.168.xxx.xxx:8989 sans aucune redirection.
3/ Firefox et chrome me font la même blague ... Edge lui me sort les sites sans broncher.

Bref ... le problème est lié à une fonctionnalité des navigateurs que Edge n'a pas ? Je continue de chercher et là bim :

Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n'établir qu'une connexion sécurisée.
Ainsi il n'est pas possible d'ajouter d'exception pour ce certificat.
xxxxxxxx utilise un certificat de sécurité invalide.
Le certificat n'est valide que pour les noms suivants :
nas.xxxxxxxx.com, xxxxxxxx.com, mail.xxxxxxxx.com  
(Code d'erreur : ssl_error_bad_cert_domain)

Du coup, je vais dans le NAS et je vire le HSTS qui était activé pour les services web (pourtant je ne me rappelle pas d'avoir touché à cela) ... je reboot le NAS pour faire bonne mesure ...

Aucun changement ... cette connerie de HSTS continue à faire mumuse !!!! 

Je teste dans chrome en virant le domaine : https://kamaradski.com/2856/chrome-clear-hsts-state-http-strict-transport-security

Bingo ! Ca marche. J'ai un backup ... mais je ne comprends pas pourquoi le NAS continue d'utiliser HSTS !

J'ai essayer de totalement désactiver le HTTPS pour les services web ainsi que pour le DSM ... mais cela ne change rien non plus.

Conclusion

- Pouvez-vous me dire si j'ai oublié un truc quelque part pour virer HSTS ?

- Peut-on virer cette connerie en SSL ?

SOLUTION :

Essayer de supprimer le jeton HSTS : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Si cela ne marche pas :

- Firefox : Supprimer le dossier de profil %user%\AppData\Roaming\Mozilla

- Chrome : Désinstaller avec suppression des données utilisateur

 

1.png

2.png

Modifié par tops
Lien vers le commentaire
Partager sur d’autres sites

Edit :

J'ai le même soucis sur un autre NAS qui n'est pas dans le même bâtiment ...

A noter que sur celui-ci le HSTS n'est activé nul part et que je rencontre aussi un problème ... pour le coup c'est un NAS hyper clean sans aucun paquet tiers installé (backup) donc le problème est forcément lié au Syno en lui-même. Hors même la dernière mise à jour ne fait aucune mention d'un changement concernant HSTS ...

Modifié par atopsent
Lien vers le commentaire
Partager sur d’autres sites

Bien vu ... mais j'ai essayé et cela sans succès.

Et puis concernant Firefox, il est mentionné que si un site accédé en HTTP, le header STS est ignoré. Il faut que le site fasse un renvoi sur HTTPS lui-même. Je suppose donc que le NAS redirige les sites HTTP vers du HTTPS et qu'après cela devient le bordel total ... reste à savoir pourquoi il me fait des redirections de son propre chef sur des sites sous /web

Quand à avoir le même problème sur deux NAS au même moment ? Avec zéro modif de paramétrage sur les deux NAS ? Ca sent la mise à jour qui fait des trucs pas nets !

Modifié par tops
Lien vers le commentaire
Partager sur d’autres sites

Il faut que le site fasse un renvoi sur HTTPS lui-même.

C'est contraire à ce que propose l'HSTS (sauf évidement à la toute première connexion). L'info que tel ou tel site est en https (via hsts) est bien stockée/gérée par le navigateur, je suis catégorique.

Diverses méthode pour faire oublier le jeton hsts : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Maintenant pour ton problème, je n’avais pas regardé en détail ta première capture, tu as coché : Redirigé automatiquement les connexions HTTP vers le HTTPS

Après si tu es en entreprise, il y a plein d'autres choses qui peuvent expliquer le changement (une mise à jour de ton poste, une configuration proxy et/ou reverse proxy, ...).

Lien vers le commentaire
Partager sur d’autres sites

J'ai fini par creuser et trouvé du côté du stockage dans Firefox ...

Pour Chrome, j'avais déjà fait la manip conseillé dans ton lien avec succès. Mais pour Firefox, niet ... suppression comme expliqué dans le lien, suppression de tous les cookies, suppression des certificats "serveur", safe, ... Peau de balle, rien n'avait marché.

J'ai fini par virer Firefox du PC ... et dégager le dossier %user%\AppData\Roaming\Mozilla ... et là impeccable !

Et si je réinstalle mon profil via Firefox Sync, ca marche sans problèmes.

Bref t'avais vu juste et s'était bien le navigateur qui avait gardé en tête un truc. Je ne saurai jamais où cela était planqué par contre !

Pour Chrome, c'est la même ... il faut aller supprimer tous les trucs qui trainent dans appdata, prog files, ... après désinstallation.

Merci pour tes réponses !

Modifié par tops
Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...

Pour commencer merci pour ce fil de discussion. J'ai réglé cette reconnexion HSTS en vous lisant.

Pour ma part , j'ai supprimé tout l'historique et j'ai supprimé le dossier "storage" qui se trouve dans  : Apps\FirefoxPortable\Data\profile\

Et tout est ok. Plus de redirection sur le htpps.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.