Aller au contenu

Non-concordance certificat SSL


Messages recommandés

Bonjour,

En lançant DS Finder aujourd'hui, j'ai eu un message qui me parait inquietant :

Citation

Non-concordance des certificats

Certificat SSL modifié (Empreinte : xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx). Si vous ne l'avez pas modifiée, soyez vigilant quant aux attaques malveillantes. Voulez-vous renouveler le certificat SSL et poursuivre votre connexion maintenant ?

Je n'ai fait aucune modification. Est-ce que je dois m’inquiéter ou pas ?

Merci d'avance pour les infos.

PS : Je ne savais pas trop ou poster cette question...


 

Lien vers le commentaire
Partager sur d’autres sites

Lors de renouvellement de certificat, je n'ai jamais eu de message indiquant qu'il avait changé. Je ne connais pas les détails techniques, mais je suppose que le certificat reste le même, seule la date de validité est changée (c'est ce que j'en ai déduis du fait de ne pas avoir ce genre de message justement)

Lien vers le commentaire
Partager sur d’autres sites

Ton Synology ne doit pas charger la clée privée qui correspond au certificat SSL... Tu as que deux solutions :

- Soit tu retrouves la bonne clée privée ou le bon certificat SSL
- Soit tu demandes à GANDI la ré-émission du certificat SSL sur la base d'une nouvelle requête CSR

Je te recommande de comparer les modulus des deux (clée privée / certificat SSL), ils doivent être différents : https://www.certificat-ssl.info/tutoriels/check-private-key-key-values-mismatch

Si tu as encore la requête CSR, tu peux comparer le modulus avec la commande :

openssl req -noout -modulus -in ta-requete.csr | openssl md5

Ta requête CSR doit correspondre soit avec le certificat SSL, soit avec la clée privée...
Dans ce cas, c'est celui qui ne correspond pas qui est en erreur. Essaie de retrouver le bon fichier ou contact GANDI pour la ré-émission !

Bonne journée

Modifié par ChrisW95
Lien vers le commentaire
Partager sur d’autres sites

TU as peut être enregistré un mauvais certificat un jour ou tu contact ton nas sur via une adresse qui n'est pas présente dans le certificat (si tu as des SAN, le CN est ignoré). Autre possibilité, tu as enregistré un autre certificat pour la même adresse

=> test avec firefox (il a son propre magasin de certificat, indépendant de celui du système) et/ou test depuis une machine qui ne s'est jamais connectée au nas.

Je te recommande tout de même de vérifier l'empreinte du certificat installé VS celui fourni par Gandi.

Lien vers le commentaire
Partager sur d’autres sites

Je tiens à préciser que je ne m'y connais pas vraiment en certificats... Du coup je l'ai installé, et quand j'ai réussi à le faire marcher, je n'y ai plus touché...

Je ne sais pas trop comment tester ça. Quand je me connecte avec Firefox sur mon NAS, je n'ai pas de message particulier. Ça ne me le fait que depuis les applications Synology sur smartphone.

Pour vérifier l'empreinte, j'utilise la methode donné par ChrisW95 ?

Modifié par StudioNeuneu
Lien vers le commentaire
Partager sur d’autres sites

Ouvre simplement le certificat et regarde la valeur de l'empreinte.

Pour ouvrir le certificat avec Firefox :

  • clique sur le cadena avant l'adresse
  • la flèche >
  • Plus d'informations
  • Afficher le certificat

Puis compare cette valeur à celle du certificat que t'as fourni Gandi.

Si tu ne t'en sors pas, envoi moi les 2 certificats en MP (pas les clef privées, juste les certificats publics) ainsi que les url exactes que tu entres dans le navigateur et dans l'appli.

Lien vers le commentaire
Partager sur d’autres sites

Les empreintes sont identiques. Pour être sur, j'ai même retéléchargé le certificat depuis mon compte Gandi. Et les empreintes sont bien les mêmes.
En renommant avec une extension txt le certificat de Gandi et le certificat obtenu depuis Firefox (en l'exportant), j'ai pu les ouvrir depuis Notepad++, et ils sont strictement identiques.

Par contre, les empreintes que me donnent les applications Synology dans leur message de non-concordance sont différentes. Qu'est-ce qui a pu se passer ? J'ai peut-être pas regardé les bons certificats ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, StudioNeuneu a dit :

Les empreintes sont identiques.

Bonne nouvelle, au moins ce n'est un soucis de compromission/sécurité sur le nas.

il y a 1 minute, StudioNeuneu a dit :

Par contre, les empreintes que me donnent les applications Synology dans leur message de non-concordance sont différentes. Qu'est-ce qui a pu se passer ? J'ai peut-être pas regardé les bons certificats ?

  • Tu es sur de l'adresse que tu utilises dans l'appli ?
  • Tu test en local ou via internet (2/3/4g) ?
  • Quel plateforme mobile utilises tu (android, ios, ...) ?

Essaye de supprimer toutes (elles ont un bout de cache en commun) les appli syno sur ton mobile puis d'en réinstaller une.

Lien vers le commentaire
Partager sur d’autres sites

Je suis sur iOS. Je teste à la fois en local depuis le réseau wifi et par internet. Pour l'adresse, j'utilise la même depuis le début. Donc je suppose que si l'adresse était bonne avant, elle devrait l'être maintenant.
J'ai supprimé toutes les applis, et j'ai juste installé DS Finder. Il a fallu que je recrée la connexion, et je n'ai pas eu de message d'erreur. Mais ça me parait normal non ? Quand j'ai supprimé les applis, il a du supprimer aussi le certificat. Du coup il le réimporte lors de la première connexion.

Bon le plus important, c'est que je n'ai pas de problème de sécurité.

Merci pour toutes les infos.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour,

Je à priori suis exactement dans le même cas.

- certificat Gandi valide jusqu'en 2017

- même message sous IOS avec DS FIle puis DS Cam

Je décide seulement aujourd'hui de regarder ce problème.

Merci pour ces propositions de vérification, je vais regarder ça...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 ans après...

Bonjour,

J'ai le même souci, et je m'y connais encore moins, j'ai changé de routeur, passant d'un RT1900ac à un RT2600ac et par la même occasion j'ai testé les application iOS de mon routeur et de mon NAS, que je n'utilisais qu'en local via l'IP local.

Maintenant, je suis identifié par mon ID Quick Connect, et pour DS File, il m'informe que le certificat SSL est modifié (empreinte ....).

Vous avez trouvé l'origine ?

J'ai supprimé les application iOS, maintenant j'ai un message d'alerte avec DS Routeur que je n'avais pas avant... mais par contre je n'ai plus l'alerte via DS File...

Une idée ? Merci !

Modifié par KeizerSauze
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.