FF2 trop protecteur ???!!

Le
P.G.
Bonjour,

Bon, tout de suite, il faut avertir qu'il est nécessaire d'avoir un
compte sur mobile Orange pour vérifier le problème suivant :

sur mobile.orange.fr, une fois identifié, on a la possibilité de
profiter du service mobile MMS.
http://mobile.orange.fr/2/accueil/PA?PS=CHTLAMMS

Si je veux envoyer un MMS gratuit par ce service, je clique sur le lien
correspondant.
J'obtiens alors sous FF2 le message d'alerte suivant :
"Firefox ne peut se connecter en mode sécurisé sur emm.orange.fr car le
site utilise un protocole de sécurité qui n'est pas activé."
Le seul choix que j'ai est de cliquer sur le bouton "OK" sans pour
autant accéder au service. Blocage inconditionnel !!! :-(

Avec FF 1.5.0.9, j'obtiens plutôt le message suivant :
_Titre de la fenêtre_ :
** Erreur de sécurité : nom de domaine incompatible.
_Texte de la fenêtre_ :
** Vous avez tenté d'établir une connexion avec "emm.orange.fr".
Cependant, le certificat de sécurité présenté appartient à
"MAIL.ORANGE.FR". Il est possible, bien que peu probable, que quelqu'un
tente d'intercepter vos communications avec ce site Web.
Si vous pensez que le certificat présenté n'appartient pas à
"emm.orange.fr", veuillez abandonner la connexion et notifier
l'administrateur du site.
_Boutons de la fenêtre_ :
** voir le certificat
** OK
** Annuler

On peut donc voir le certificat et vérifier la situation.
En cliquant sur le bouton "OK", on accède au service !!! :-)

J'aimerai bien pouvoir avoir encore le choix comme sous FF 1.5.0.9 de
décider d'aller ou pas plus loin.

Alors, y a-t-il un moyen sous Firefox 2.0.0.1 d'accéder au service en
question lorsqu'il y a divergence entre le certificat de sécurité du
domaine de départ et le nom de domaine d'arrivée comme dans le cas présent ?

--
P.G.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Ulrich
Le #11045621
*P.G.* a présenté l'énoncé suivant :

J'obtiens alors sous FF2 le message d'alerte suivant :
"Firefox ne peut se connecter en mode sécurisé sur emm.orange.fr car le site
utilise un protocole de sécurité qui n'est pas activé."



Meme problème pour ma part , que ce soit sous windows avec firefox
2.0.0.1 ou opera 9.1

Meme problème sous linux avec FF (un peu normal :D ) avec konqueror
3.5.5

--
Cordialement
Ulrich
P.G.
Le #11045611
Le 30/01/2007 20:27, *Ulrich* a écrit le message suivant :
*P.G.* a présenté l'énoncé suivant :

J'obtiens alors sous FF2 le message d'alerte suivant :
"Firefox ne peut se connecter en mode sécurisé sur emm.orange.fr car le site
utilise un protocole de sécurité qui n'est pas activé."



Meme problème pour ma part , que ce soit sous windows avec firefox
2.0.0.1 ou opera 9.1

Meme problème sous linux avec FF (un peu normal :D ) avec konqueror
3.5.5




IE 6, même réactions que FF 1.5.0.9. Une fenêtre d'alerte de sécurité
informe que le certificat est correct mais le nom ne correspond pas au
site visité mais te propose tout de même le choix de continuer ou pas.
Il n'y a pas de blocage total.

--
P.G.
Ulrich
Le #11045591
Après mure réflexion, *P.G.* a écrit :

IE 6, même réactions que FF 1.5.0.9.



Bizarrement , je n'ai pas ce problème sous IE 7 . :o)

D'ailleurs , je "contourne" ces problèmes en utilisant IE 7 (mais ce
n'est pas pratique de changer de navigateur à chaque fois)

--
Cordialement
Ulrich
P.G.
Le #11045541
Le 30/01/2007 21:32, *Ulrich* a écrit le message suivant :
Après mure réflexion, *P.G.* a écrit :

IE 6, même réactions que FF 1.5.0.9.



Bizarrement , je n'ai pas ce problème sous IE 7 . :o)



FF 1.5.0.9 et IE 6 indiquent que le nom du certificat diffère de celui
du site sur lequel on va se connecter mais te laisse le choix de le faire.

Si IE7 ne l'indique pas et y va direct, c'est assez surprenant ?!

Pourquoi FF 2.0.0.1, Opera 9.1 et Konqueror 3.5.5 ne proposent plus, au
moins le choix de continuer ou de laisser tomber plutôt que d'empêcher
carrément l'accès ?

D'ailleurs , je "contourne" ces problèmes en utilisant IE 7 (mais ce
n'est pas pratique de changer de navigateur à chaque fois)



C'est clair, ça m'oblige aussi à garder FF 1.5.0.9 puisque FF 2.0.0.1
refuse l'accès.

--
P.G.
Jean-Marc Desperrier
Le #11045501
P.G. wrote:
Bon, tout de suite, il faut avertir qu'il est nécessaire d'avoir un
compte sur mobile Orange pour vérifier le problème suivant :



Non, se connecter directement sur l'URL https://emm.orange.fr permet de
constater le problème

J'obtiens alors sous FF2 le message d'alerte suivant :
"Firefox ne peut se connecter en mode sécurisé sur emm.orange.fr car le
site utilise un protocole de sécurité qui n'est pas activé."
[...]
J'aimerai bien pouvoir avoir encore le choix comme sous FF 1.5.0.9 de
décider d'aller ou pas plus loin.

Alors, y a-t-il un moyen sous Firefox 2.0.0.1 d'accéder au service en
question lorsqu'il y a divergence entre le certificat de sécurité du
domaine de départ et le nom de domaine d'arrivée comme dans le cas
présent ?



Le problème n'est pas celui que tu pense car :
- normalement FF 2 autorise bien à forcer la connexion vers les sites
mal configuré où le certificat ne correspond pas au nom
- le rejet semble intervenir dès la connexion et la négociation SSL,
avant même que le site n'envoit son certificat

FF 2 marque l'abandon du SSLv2, depuis longtemps périmé et moins sûr que
les versions modernes, il n'est pas le seul IE7, et les versions
récentes d'Opera et Konqueror aussi, le problème semble donc être plutôt
de ce coté.

Cependant ça devrait ne pas marcher mieux avec IE 7 qui abandonne aussi
le SSLv2. Effectivement les tests montrent que le serveur sait faire du
SSLv3, ainsi que du TLS, et que quand on lui demande de faire du SSLv2,
il négocie le TLS à la place.

Va voir regarder d'encore plus près pour comprendre ce qu'il se passe ...
Ulrich
Le #11045401
Dans son message précédent, *Jean-Marc Desperrier* a écrit :

Cependant ça devrait ne pas marcher mieux avec IE 7 qui abandonne aussi le
SSLv2.



Bizarrement , pour moi , avec IE 7 ca marche , mais pas avec d'autres
anvigateurs .

Par contre l'url https://emm.orange.fr ne fonctionne pas , quel que
soit le navigateur

--
Cordialement
Ulrich
P.G.
Le #11045381
Le 31/01/2007 11:08, *Jean-Marc Desperrier* a écrit le message suivant :
P.G. wrote:
Bon, tout de suite, il faut avertir qu'il est nécessaire d'avoir un
compte sur mobile Orange pour vérifier le problème suivant :



Non, se connecter directement sur l'URL https://emm.orange.fr permet de
constater le problème



Pour accéder à cette URL, il faut déjà la connaître, non ? ;-)
Hormis dans mon message, je me demande où tu aurais pu...

Cela dit, http://emm.orange.fr sans le *s* à http débouche directement
sur une demande d'identification du compte qui t'amène à l'interface de
gestion des MMS, similaire à des courriels et cela avec Firefox 1.5.0.9.
La demande d'identification n'est même pas sur une page sécurisée !!

J'obtiens alors sous FF2 le message d'alerte suivant :
"Firefox ne peut se connecter en mode sécurisé sur emm.orange.fr car le
site utilise un protocole de sécurité qui n'est pas activé."
[...]
J'aimerai bien pouvoir avoir encore le choix comme sous FF 1.5.0.9 de
décider d'aller ou pas plus loin.

Alors, y a-t-il un moyen sous Firefox 2.0.0.1 d'accéder au service en
question lorsqu'il y a divergence entre le certificat de sécurité du
domaine de départ et le nom de domaine d'arrivée comme dans le cas
présent ?



Le problème n'est pas celui que tu pense car :



Merci de ne pas supputer mes pensées. Ici, je ne fais qu'indiquer des
informations sur un problème et demander si quelqu'un a une solution
palliative.

- normalement FF 2 autorise bien à forcer la connexion vers les sites
mal configuré où le certificat ne correspond pas au nom



J'espère bien.

- le rejet semble intervenir dès la connexion et la négociation SSL,
avant même que le site n'envoit son certificat



C'est possible.

FF 2 marque l'abandon du SSLv2, depuis longtemps périmé et moins sûr que
les versions modernes, il n'est pas le seul IE7, et les versions
récentes d'Opera et Konqueror aussi, le problème semble donc être plutôt
de ce coté.



J'avais remarqué qu'il n'y avait plus d'options de protocole SSL 2.0
dans FF 2 par rapport à FF 1.5.

Cependant ça devrait ne pas marcher mieux avec IE 7 qui abandonne aussi
le SSLv2. Effectivement les tests montrent que le serveur sait faire du
SSLv3, ainsi que du TLS, et que quand on lui demande de faire du SSLv2,
il négocie le TLS à la place.



Je n'ai pas IE 7.
J'essaie avec IE quand un site web ne fonctionne pas bien pour
déterminer où peut se trouver le problème. Je n'ai pas d'autres navigateurs.
Je ne sais pas comment tu fais pour savoir quels protocoles de sécurité
utilisent le serveur en question. Comment fais-tu ?

Va voir regarder d'encore plus près pour comprendre ce qu'il se passe ...



Si tu as plus d'informations, communique les nous merci !

--
P.G.
Jean-Marc Desperrier
Le #11044981
P.G. wrote:
Le 31/01/2007 11:08, *Jean-Marc Desperrier* a écrit le message suivant :
P.G. wrote:
Bon, tout de suite, il faut avertir qu'il est nécessaire d'avoir un
compte sur mobile Orange pour vérifier le problème suivant :



Non, se connecter directement sur l'URL https://emm.orange.fr permet
de constater le problème



Pour accéder à cette URL, il faut déjà la connaître, non ? ;-)



Je veux juste dire que si on a pas de compte Orange, on peut ainsi quand
même utiliser cela pour voir ainsi en quoi consiste le problème.

Alors, y a-t-il un moyen sous Firefox 2.0.0.1 d'accéder au service en
question lorsqu'il y a divergence entre le certificat de sécurité du
domaine de départ et le nom de domaine d'arrivée comme dans le cas
présent ?



Le problème n'est pas celui que tu pense car :



Merci de ne pas supputer mes pensées. Ici, je ne fais qu'indiquer des
informations sur un problème et demander si quelqu'un a une solution
palliative.



Je me contentais de me baser sur la phrase du-dessus où tu déclare qu'il
y a un problème lorsqu'il y a divergence entre les deux noms. Ce n'est
pas le cas.

Et j'ai une solution palliative.

Je ne sais pas comment tu fais pour savoir quels protocoles de sécurité
utilisent le serveur en question. Comment fais-tu ?



J'utilise des outils spécialisés. C'est mon boulot en fait :-)

Va voir regarder d'encore plus près pour comprendre ce qu'il se passe ...



Si tu as plus d'informations, communique les nous merci !



Oui, maintenant je les ais. La source du problème est que ce serveur est
configuré pour refuser les chiffrements sûr : RC4 128 et triple DES.
Il ne connaît que le DES qui n'est plus aujourd'hui une méthode de
chiffrement robuste.

Or en plus du SSLv2, la version 2 de Firefox suprime par défaut le
support de tous les algorithme de chiffrement insuffisamment robustes,
ceux en 40 et en 56 bits.

IE 7 lui a désactivé par défaut le SSLv2, mais garde les versions
faibles des algorithmes de chiffrement. Comme en plus que je sache il
n'y a aucun avertissement à ce sujet (FF 1.5 affiche un message quand on
se connecte en 40 bits), ça n'est pas terrible ...

Pour donc se connecter à ce serveur avec FF 2.0, la manip est la suivante :
- Taper about:config :
- Taper rsa_des dans le filtre
- Double-cliquer sur "security.ssl3.dhe_rsa_des_sha" pour le passer à true.

En procédant ainsi, on autorise un algo d'une sécurité discutable (c'est
tout de même nettement meilleur que le 40 bits), mais seulement
celui-là, et sans autoriser non plus le sslv2 vraiment dépassé.

Sinon chez Mozilla, le bug concerné est le suivant :
https://bugzilla.mozilla.org/show_bug.cgi?id#6933

J'ouvrirais bien un nouveau bug pour demander le rétablissement des algo
56 bits (avec la pop-up d'avertissement sur les risques), mais le succès
est loin d'être garanti.
Ulrich
Le #11044931
Le 02/02/2007, *Jean-Marc Desperrier* a supposé :

IE 7 lui a désactivé par défaut le SSLv2, mais garde les versions faibles des
algorithmes de chiffrement.



Merci pour les infos , je comprend mieux maintenant pourquoi la page
fonctionne avec IE 7 mais pas avec d'autres navigateurs .

D'ailleurs , il me semble avoir rencontré ce problème avec d'autres
sites , mais je ne me rappelle plus les url concernés .

--
Cordialement
Ulrich
P.G.
Le #11044831
Le 02/02/2007 15:59, *Jean-Marc Desperrier* a écrit le message suivant :
P.G. wrote:
Le 31/01/2007 11:08, *Jean-Marc Desperrier* a écrit le message suivant :
P.G. wrote:
Bon, tout de suite, il faut avertir qu'il est nécessaire d'avoir un
compte sur mobile Orange pour vérifier le problème suivant :


Non, se connecter directement sur l'URL https://emm.orange.fr permet
de constater le problème


Pour accéder à cette URL, il faut déjà la connaître, non ? ;-)



Je veux juste dire que si on a pas de compte Orange, on peut ainsi quand
même utiliser cela pour voir ainsi en quoi consiste le problème.



C'est pour ça que j'ai employé une binette ;-)

Alors, y a-t-il un moyen sous Firefox 2.0.0.1 d'accéder au service en
question lorsqu'il y a divergence entre le certificat de sécurité du
domaine de départ et le nom de domaine d'arrivée comme dans le cas
présent ?


Le problème n'est pas celui que tu pense car :


Merci de ne pas supputer mes pensées. Ici, je ne fais qu'indiquer des
informations sur un problème et demander si quelqu'un a une solution
palliative.



Je me contentais de me baser sur la phrase du-dessus où tu déclare qu'il
y a un problème lorsqu'il y a divergence entre les deux noms. Ce n'est
pas le cas.



Ok. ;-)

Et j'ai une solution palliative.



Cool !! :-D


Je ne sais pas comment tu fais pour savoir quels protocoles de sécurité
utilisent le serveur en question. Comment fais-tu ?



J'utilise des outils spécialisés. C'est mon boulot en fait :-)



J'imagine... C'est sans doute intéressant !

Va voir regarder d'encore plus près pour comprendre ce qu'il se passe ...


Si tu as plus d'informations, communique les nous merci !



Oui, maintenant je les ais. La source du problème est que ce serveur est
configuré pour refuser les chiffrements sûr : RC4 128 et triple DES.



??!!! Configuré pour refuser ou pas configuré pour accepter ? ;-)

Il ne connaît que le DES qui n'est plus aujourd'hui une méthode de
chiffrement robuste.

Or en plus du SSLv2, la version 2 de Firefox suprime par défaut le
support de tous les algorithme de chiffrement insuffisamment robustes,
ceux en 40 et en 56 bits.

IE 7 lui a désactivé par défaut le SSLv2, mais garde les versions
faibles des algorithmes de chiffrement. Comme en plus que je sache il
n'y a aucun avertissement à ce sujet (FF 1.5 affiche un message quand on
se connecte en 40 bits), ça n'est pas terrible ...



Effectivement, j'ai constaté qu'entre la version 1.5.0.9 et la 2.0.0.1,
il y avait plein de valeurs concernant la partie "security" mises à
"false" dans la dernière version.

Pour donc se connecter à ce serveur avec FF 2.0, la manip est la suivante :
- Taper about:config :
- Taper rsa_des dans le filtre
- Double-cliquer sur "security.ssl3.dhe_rsa_des_sha" pour le passer à true.



J'ai vu qu'il y a plusieurs lignes de ce type.

Et pourquoi pas passer "security.ssl3.rsa_des_sha" à "true" ?
J'ai testé, ça fonctionne aussi et sans même m'avertir d'un problème de
sécurité !! :-S

Tu me diras, je ne sais pas ce qu'est DHE, alors... ?!!

En procédant ainsi, on autorise un algo d'une sécurité discutable (c'est
tout de même nettement meilleur que le 40 bits), mais seulement
celui-là, et sans autoriser non plus le sslv2 vraiment dépassé.



C'est une solution palliative et je te remercie pour ça.

Sinon chez Mozilla, le bug concerné est le suivant :
https://bugzilla.mozilla.org/show_bug.cgi?id#6933

J'ouvrirais bien un nouveau bug pour demander le rétablissement des algo
56 bits (avec la pop-up d'avertissement sur les risques), mais le succès
est loin d'être garanti.



Ça peut se comprendre.

--
P.G.
Poster une réponse
Anonyme