Aller au contenu

Je ne peux plus accéder au NAS - 403 systématique


Double Jo

Messages recommandés

Bonjour,

Depuis ce matin toutes les requêtes vers le NAS me renvoient un 403.
Que ce soit pour aller sur le DSM, les requêtes webdav etc...

Je suspecte le certificat let's encrypt qui serait arrivé à expiration et non renouvelé.

Le problème c'est que les requêtes http sont automatiquement redirigées vers du https et bloquent.
Je ne sais pas comment faire, je suis bloqué! J'ai peur.

Une idée?

Lien vers le commentaire
Partager sur d’autres sites

La case n'est pas cochée.

C'est curieux car lorsque je me connecte au NAS, mon navigateur (Chrome) me demande de sélectionner un certificat pour m'authentifier.
Il me propose alors la liste des certificats présents sur ma machine, mais aucun d'eux ne correspond au NAS.

Du coup ensuite la connexion est refusée.

Du côté du NAS, dans le panneau de config, page du certificat, j'ai l'impression que tout va bien:
J'ai un certif valide, sélectionné par défaut, qui fonctionnait jusqu'alors.

Je comprends pas pourquoi du jour au lendemain ce certificat n'est plus utilisable par les clients.

Lien vers le commentaire
Partager sur d’autres sites

Afin que je comprenne le fonctionnement normal du truc, on est bien d'accord que:

-Le client tente de se connecter au NAS (https)
-Le NAS envoie le certificat (délivré dans mon cas par Let's Encrypt)
-Le client vérifie qu'il est valide
-On arrive alors sur la page d'authentification

Pourquoi mon navigateur me demande de sélectionner un certificat présent sur ma machine?

J'ai déjà essayé avec Firefox, en vidant le cache, navigation privée, etc... même problème.

Plus de détail sur l'erreur (En utilisant Firefox)
 

Citation

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à doublejo.fr, car l’émetteur de son certificat est inconnu, le certificat est auto-signé ou le serveur n’envoie pas les certificats intermédiaires corrects.
 
Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER

Là j'ai une option pour visualiser le certificat en question et je suis surpris car là:
Nom courant: A43E51-Livebox 4-AN1826324876073

C'est ma box qui est à l'origine du certificat? 🙂

Lien vers le commentaire
Partager sur d’autres sites

Un certificat SSL garantit que les données sont chiffrées entre le client et le serveur.
Let's Encrypt n'est pas au sommet de la chaine d'accréditation, ce qui compte vraiment ce sont les certificats racines, ceux qui proviennent des quelques organismes mondiaux.

Mais comme une boîte comme Caterpillar a des revendeurs, ces organismes délèguent la possibilité de délivrer des certificats à des sous organismes comme Let's Encrypt.
Un certificat Let's encrypt embarque aussi une chaîne de confiance, celle qui lui permet de remonter jusqu'au certificat racine et de certifier leur habilitation à délivrer des certificats.

Les navigateurs, OS et smartphones embarquent un magasin de certificats qui leur permet de vérifier que le certificat exposé sur ton NAS correspond à une de leurs références.

D'où le fait que ça puisse venir du navigateur.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, souci liée à la dernière mise à jour de la LB vraisemblablement.
L'appel en interne du site via son nom DNS et son certificat SSL sont KO c'est le certificat orange qui vient s'interposer....
Correction attendue pour janvier de la part d'Orange. Pas de changement pour les accès externes.

Des solutions de contournement plus ou moins complexes sont possibles et évoquées sur le forum pour contourner cette problématique de loopback.

La plus simple mais plus réservée aux machines locales fixes étant de modifier le fichier host le temps que la correction du firmware arrive ou de faire appel via des raccourcis liés à l'ip du NAS et non son nom DNS.

au delà cela sera mise en place d'un serveur DHCP et serveur DNS sur le NAS... A chacun de voir

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Pour la manipulation de @DaffY, cette dernière est à faire sur la machine que tu utilise pour te connecter à ton Synology.
Il te conseille de modifier le fichier host de ta machine, ce dernier se trouve (si tu est sous Windows) dans C:\Windows\System32\drivers\etc
La lettre peut être autre que C:\ selon l'installation de ta machine, ta modification sera de cet ordre

# Copyright (c) 1993-2009 Microsoft Corp.
#
# BlaBla en commentaire

#	127.0.0.1       localhost
#	::1             localhost

IP_LOCAL_DE_TON_NAS		doublejo.fr

Le sujet mentionnant ce soucis est ici

Je remercie en même temps chaque acteur de ce sujet qui m'ont permis de découvrir ce phénomène dans la dernière update d'Orange ce qui me console dans l'idée que c'est cool les modems par défaut mais pas pour la sécurité ^^

Lien vers le commentaire
Partager sur d’autres sites

@Double Jo

Bonjour,

Absolument, et en plus je dirais que si tu n'es pas éligible à l'IPv6 (voir l'indication de DNS serveurs IPv6 sur "N/A" dans les infos de ta Livebox) il ne faut surtout pas activer quoique ce soit de lié à L'IPv6 dur ton NAS et Routeur. D'expérience cela perturbe la résolution DNS sur la zone locale. Je ne sais expliquer pourquoi mais c'est un fait dûment constaté.

Par ailleurs vu que tu as un routeur Synolgy en plus de la Livebox, je t'invites à lire ce TUTO si tu souhaites t'affranchir complètement des problèmes inérants à la Livebox.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.