[Résolu] HSTS ... qui ne veut pas se désactiver.

[tops]

Hello,

Petit soucis depuis ce matin mon NAS redirige toutes les adresses HTTP de format "domain.com" vers du HTTPS. Le problème a moins de 15 jours puisque je ne l'avais pas depuis mon lieu de vacances ... La chose est parfaitement normale pour les adresses comme l'accès au DSM mais par contre me faire cela pour des sites installés à la mano dans le /web ou avec des paquets comme sonarr ???? WTF !

Je me balade pour trouver une solution et :

1/ http:// domaine.com:8989 donne https:// domaine.com:8989 il redirige tout vers https, les paquets, les sites web, ... même la page video station pour laquelle j'ai spécifiée un port HTTP
2/ 192.168.xxx.xxx:8989 donne 192.168.xxx.xxx:8989 sans aucune redirection.
3/ Firefox et chrome me font la même blague ... Edge lui me sort les sites sans broncher.

Bref ... le problème est lié à une fonctionnalité des navigateurs que Edge n'a pas ? Je continue de chercher et là bim :

Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n'établir qu'une connexion sécurisée.
Ainsi il n'est pas possible d'ajouter d'exception pour ce certificat.
xxxxxxxx utilise un certificat de sécurité invalide.
Le certificat n'est valide que pour les noms suivants :
nas.xxxxxxxx.com, xxxxxxxx.com, mail.xxxxxxxx.com  
(Code d'erreur : ssl_error_bad_cert_domain)

Du coup, je vais dans le NAS et je vire le HSTS qui était activé pour les services web (pourtant je ne me rappelle pas d'avoir touché à cela) ... je reboot le NAS pour faire bonne mesure ...

Aucun changement ... cette connerie de HSTS continue à faire mumuse !!!! 

Je teste dans chrome en virant le domaine : https://kamaradski.com/2856/chrome-clear-hsts-state-http-strict-transport-security

Bingo ! Ca marche. J'ai un backup ... mais je ne comprends pas pourquoi le NAS continue d'utiliser HSTS !

J'ai essayer de totalement désactiver le HTTPS pour les services web ainsi que pour le DSM ... mais cela ne change rien non plus.

Conclusion

- Pouvez-vous me dire si j'ai oublié un truc quelque part pour virer HSTS ?

- Peut-on virer cette connerie en SSL ?

SOLUTION :

Essayer de supprimer le jeton HSTS : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Si cela ne marche pas :

- Firefox : Supprimer le dossier de profil %user%\AppData\Roaming\Mozilla

- Chrome : Désinstaller avec suppression des données utilisateur

 

Modifié le 19 août 2015 par tops

[tops]

Edit :

J'ai le même soucis sur un autre NAS qui n'est pas dans le même bâtiment ...

A noter que sur celui-ci le HSTS n'est activé nul part et que je rencontre aussi un problème ... pour le coup c'est un NAS hyper clean sans aucun paquet tiers installé (backup) donc le problème est forcément lié au Syno en lui-même. Hors même la dernière mise à jour ne fait aucune mention d'un changement concernant HSTS ...

Modifié le 16 août 2015 par atopsent

[Fenrir]

Le fait qu'un site utilise l'HSTS est enregistré par le navigateur.

Avec Firefox, c'est dans l'historique, il suffit de supprimer tous les enregistrements liés à ce site dans l'historique

[tops]

Bien vu ... mais j'ai essayé et cela sans succès.

Et puis concernant Firefox, il est mentionné que si un site accédé en HTTP, le header STS est ignoré. Il faut que le site fasse un renvoi sur HTTPS lui-même. Je suppose donc que le NAS redirige les sites HTTP vers du HTTPS et qu'après cela devient le bordel total ... reste à savoir pourquoi il me fait des redirections de son propre chef sur des sites sous /web

Quand à avoir le même problème sur deux NAS au même moment ? Avec zéro modif de paramétrage sur les deux NAS ? Ca sent la mise à jour qui fait des trucs pas nets !

Modifié le 17 août 2015 par tops

[Fenrir]

Il faut que le site fasse un renvoi sur HTTPS lui-même.

C'est contraire à ce que propose l'HSTS (sauf évidement à la toute première connexion). L'info que tel ou tel site est en https (via hsts) est bien stockée/gérée par le navigateur, je suis catégorique.

Diverses méthode pour faire oublier le jeton hsts : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Maintenant pour ton problème, je n’avais pas regardé en détail ta première capture, tu as coché : Redirigé automatiquement les connexions HTTP vers le HTTPS

Après si tu es en entreprise, il y a plein d'autres choses qui peuvent expliquer le changement (une mise à jour de ton poste, une configuration proxy et/ou reverse proxy, ...).

[tops]

J'ai fini par creuser et trouvé du côté du stockage dans Firefox ...

Pour Chrome, j'avais déjà fait la manip conseillé dans ton lien avec succès. Mais pour Firefox, niet ... suppression comme expliqué dans le lien, suppression de tous les cookies, suppression des certificats "serveur", safe, ... Peau de balle, rien n'avait marché.

J'ai fini par virer Firefox du PC ... et dégager le dossier %user%\AppData\Roaming\Mozilla ... et là impeccable !

Et si je réinstalle mon profil via Firefox Sync, ca marche sans problèmes.

Bref t'avais vu juste et s'était bien le navigateur qui avait gardé en tête un truc. Je ne saurai jamais où cela était planqué par contre !

Pour Chrome, c'est la même ... il faut aller supprimer tous les trucs qui trainent dans appdata, prog files, ... après désinstallation.

Merci pour tes réponses !

Modifié le 19 août 2015 par tops

[Fenrir]

pour firefox, historique, clique droit sur le site : oublier ce site

[tops]

pour firefox, historique, clique droit sur le site : oublier ce site

Marche pas non plus dans mon cas ...

Autant sur Chrome, la solution était rapide, autant sur fox, j'ai vraiment pas eu le choix : suppression du profil.

[manu:)]

Pour commencer merci pour ce fil de discussion. J'ai réglé cette reconnexion HSTS en vous lisant.

Pour ma part , j'ai supprimé tout l'historique et j'ai supprimé le dossier "storage" qui se trouve dans  : Apps\FirefoxPortable\Data\profile\

Et tout est ok. Plus de redirection sur le htpps.

 

[Fenrir]

Pour firefox ça fonctionne chez moi, sinon c'est un fichier à éditer ou à supprimer (au choix) dans le profil : SiteSecurityServiceState.txt