Aller au contenu

Messages recommandés

Bonjour le forum,

Je me bats depuis 2 ou 3 jours pour tenter de faire fonctionner mes applications DS sur une ancienne tablette Samsung sous Android 4.4 et je n'y arrive pas car le certificat Let's Encrypt n'est pas reconnu. J'ai le message : "Le certificat SSL du DiskStation n'est pas fiable. blablabla....", un appui sur le bouton OK et ça ne va pas plus loin. Impossible d'outre passer le blocage (je crois que ce n'est pas autorisé sous Android).

De ce que j'ai compris des Certificats Let's Encrypt c'est qu'ils sont signés à la fois par Let's Encrypt (ISRG Root X1) et par IdenTrust (DST Root CA X3) afin qu'ils puissent être reconnus par la majorité des navigateurs car Let's Encrypt est trop récent pour être inclus dans les navigateurs plus anciens (mon cas).

Il se trouve que DST Root CA X3 est inclus dans Android depuis la 2.3.6. J'ai vérifié et il est bien inclus et activé dans ma tablette. Et donc pourquoi ce refus de mon certificat ? Mystère.

Comme il y a deux certificats intermédiaires distincts chez Let's Encrypt, un pour ISRG Root X1 et un autre co-signé par IdenTrust, je me demande si mon certificat inclus réellement la signature d'IdenTrust.

Seulement voilà, je ne sais pas où et comment je peux le vérifier. Quand je consulte mon certificat sur le site https://crt.sh il n'est nulle part fait mention d'IdenTrust. Normal ? Pas normal ? Je ne sais pas.

Quelqu'un a-t'il réussi à résoudre ce problème d'authentification ?

Lien vers le commentaire
Partager sur d’autres sites

Tu peux ajouter des autorités de certification dans Android (je le fais pour ma propre autorité). Tu peux aussi passer outre les alertes de certificats (en tout cas avec firefox).

Mais à mon avis ton problème est que tu n'as pas inclus la chaine de certification dans ton serveur web (ton syno). Tu dois (c'est la norme) inclure tous les certificats intermédiaire.

Je ne sais pas si le syno le fait tout seul par contre (il devrait).

Tu peux tester avec https://www.ssllabs.com/ssltest/

Lien vers le commentaire
Partager sur d’autres sites

Merci Fenrir pour ta réponse.

Les applis sont contrôlées uniquement à partir des autorités de certification incluses dans Android. Impossible de passer outre si le certificat présenté n'est pas supporté.

Je sais qu'on peut rajouter des certificats mais ceux de LE ne sont valables que 90 jours et même moins avec les renouvellements automatiques. Je ne voudrais pas avoir à le faire à chaque fois et surtout à me retrouver hors de chez avec un certif périmé qui m'empêcherait de me connecter.

J'ai vu qu'on peut aussi rajouter des certificats CA mais je crois comprendre qu'ils ne sont pas toujours utilisés par les applications. Peut-être que les DS le font, je n'en sais rien. A ce propos, je ne sais pas où je peux trouver celui de LE (le fameux ISRG Root X1) ni comment l'inclure dans Android.

Il y a 12 heures, Fenrir a dit :

Tu peux tester avec https://www.ssllabs.com/ssltest/

J'ai testé mon domaine avec ssllabs (non sans avoir désactivé le pare feu) et à priori je ne vois rien qui cloche. Le niveau général est noté A. Le certificat additionnel LE X3 est bien fourni et il est noté comme délivré par DST Root CA X3. Dans le path des certificats, mon nom de domaine ainsi que le LE X3 sont bien envoyé par le serveur, celui de DST Root CA X3 par contre est noté "in trust store". Dois-je comprendre qu'il n'est pas fourni par le serveur, et est-ce que dans ce cas c'est le client qui, en recevant le LE X3, va rechercher l’émetteur, en l’occurrence DST Root CA X3 ?

Enfin dans le "Handshake simulation" Android 4.4.2 est bien validé.

A noter que nulle part il n'est fait mention de la certification ISRG Root X1 propre à LE. Ça voudrait dire à priori que LE ne l'utilise pas (pour l'instant) et de le rajouter à la liste ne résoudrait pas mon problème de connexion.

Bref, j'ai du mal à comprendre pourquoi ça bloque.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Fenrir a dit :

mais normalement tu devrais pouvoir installer le certificat intermédiaire

C'est aussi un peu le problème.

Dans l'aide Android pour installer un nouveau certificat il est dit :

Android accepte les certificats X.509 encodés au format DER et enregistrés dans des fichiers .crt ou .cer.

J'arrive bien a avoir un .crt en exportant le certificat à partir de Firefox mais c'est celui complet avec mon nom de domaine et donc limité dans le temps.

Sais-tu où on peut récupérer le certificat intermédiaire dans ces formats de fichiers ?

Car sur le site LE le lien https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt n'est qu'un fichier texte.

Lien vers le commentaire
Partager sur d’autres sites

Dans Firefox, affiche le certificat->Détails, sélectionne l'autorité intermédiaire->Exporter

---

Je te le mets ici : Let'sEncryptAuthorityX3.crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

 

Lien vers le commentaire
Partager sur d’autres sites

Comme quoi mieux vaut un qui sait que dix qui cherchent. Je n'avais pas remarqué cette subtilité pourtant si évidente. Merci Fenrir.

Je viens d'exporter le certificat et malheureusement ça n'a pas résolu mon problème. J'ai essayé en désactivant puis réactivant le certificat DST Root CA X3, toujours pareil. J'ai essayé de charger le certificat de mon domaine, ça ne change rien.

En parallèle, je n'ai aucun problème avec mon smartphone ou celui de ma femme. Il y a juste cette tablette qui fait de la résistance.

Il y a manifestement autre chose qui bloque mais je ne vois pas quoi.

Edit :

Cette tablette fonctionnait bien à l'époque où j'utilisais les certificats startcom. Ce n'est que depuis LE que le problème est apparu, donc clairement à cause du certificat.

Lien vers le commentaire
Partager sur d’autres sites

Avec le navigateur de la tablette même problème (refus de connexion).

Pas de problème particulier avec les applications DS lorsque je passe en direct (IP du NAS) sans https.

Pas de problème non plus avec Firefox (normal puisque le certificat principal LE est reconnu).

Ma tablette est une Samsung Tab3 avec Android 4.4.2. Elle a 3 ans à peine et elle devrait normalement être capable d'accepter le certificat intermédiaire signé par IdenTrust. L'autorité est présente dans la liste des certificats acceptés et j'ai rajouté le certificat intermédiaire LE dans l'onglet utilisateur, mais ça ne fonctionne pas.

J'ai fait d'autres essais et les résultats sont assez déroutants :

Si je tente de me connecter au site IdenTrust, la page s'ouvre mais le cadenas est affiché ouvert et j'ai un message sur la page web qui me dit que je suis connecté aux serveurs IdenTrust en TLS 1.0 qui est considéré comme vulnérable aux attaques, et Qu'IdenTrust abandonnera le support de TLS1.0 à partir du 24 juin (hier :confused: !). Dans le détail du certificat il est dit qu'il ne provient pas d'une autorité fiable. Nom du certificat : TrustID Server CA A52. L'ennui c'est que je ne trouve pas ce certificat dans la liste .... Alors pourquoi la connexion est possible ?

Et pourtant, si je tente de me connecter au site LE ou à des sites certifiés par LE il n'y a aucun problème puisque :

  1. Avec le certificat intermédiaire en inhibant le certificat intégré : OK
  2. Avec le certificat intégré seul (intermédiaire supprimé) : OK
  3. Sans l'un ni l'autre : pas OK

Dès lors, je ne vois pas bien comment mes certificats LE qui utilisent en principe les mêmes empreintes sont refusés sur cette tablette et pas sur mes smartphones.

Bref, je suis perdu dans ces histoires de certificats.

Lien vers le commentaire
Partager sur d’autres sites

Donc ce n'est pas la manière dont syno créé ou présente les certificats.

Le certificat racine est bien présent sur ton android ?

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: O=Digital Signature Trust Co., CN=DST Root CA X3
        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT
        Subject: O=Digital Signature Trust Co., CN=DST Root CA X3
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:df:af:e9:97:50:08:83:57:b4:cc:62:65:f6:90:
                    82:ec:c7:d3:2c:6b:30:ca:5b:ec:d9:c3:7d:c7:40:
                    c1:18:14:8b:e0:e8:33:76:49:2a:e3:3f:21:49:93:
                    ac:4e:0e:af:3e:48:cb:65:ee:fc:d3:21:0f:65:d2:
                    2a:d9:32:8f:8c:e5:f7:77:b0:12:7b:b5:95:c0:89:
                    a3:a9:ba:ed:73:2e:7a:0c:06:32:83:a2:7e:8a:14:
                    30:cd:11:a0:e1:2a:38:b9:79:0a:31:fd:50:bd:80:
                    65:df:b7:51:63:83:c8:e2:88:61:ea:4b:61:81:ec:
                    52:6b:b9:a2:e2:4b:1a:28:9f:48:a3:9e:0c:da:09:
                    8e:3e:17:2e:1e:dd:20:df:5b:c6:2a:8a:ab:2e:bd:
                    70:ad:c5:0b:1a:25:90:74:72:c5:7b:6a:ab:34:d6:
                    30:89:ff:e5:68:13:7b:54:0b:c8:d6:ae:ec:5a:9c:
                    92:1e:3d:64:b3:8c:c6:df:bf:c9:41:70:ec:16:72:
                    d5:26:ec:38:55:39:43:d0:fc:fd:18:5c:40:f1:97:
                    eb:d5:9a:9b:8d:1d:ba:da:25:b9:c6:d8:df:c1:15:
                    02:3a:ab:da:6e:f1:3e:2e:f5:5c:08:9c:3c:d6:83:
                    69:e4:10:9b:19:2a:b6:29:57:e3:e5:3d:9b:9f:f0:
                    02:5d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                C4:A7:B1:A4:7B:2C:71:FA:DB:E1:4B:90:75:FF:C4:15:60:85:89:10
    Signature Algorithm: sha1WithRSAEncryption
         a3:1a:2c:9b:17:00:5c:a9:1e:ee:28:66:37:3a:bf:83:c7:3f:
         4b:c3:09:a0:95:20:5d:e3:d9:59:44:d2:3e:0d:3e:bd:8a:4b:
         a0:74:1f:ce:10:82:9c:74:1a:1d:7e:98:1a:dd:cb:13:4b:b3:
         20:44:e4:91:e9:cc:fc:7d:a5:db:6a:e5:fe:e6:fd:e0:4e:dd:
         b7:00:3a:b5:70:49:af:f2:e5:eb:02:f1:d1:02:8b:19:cb:94:
         3a:5e:48:c4:18:1e:58:19:5f:1e:02:5a:f0:0c:f1:b1:ad:a9:
         dc:59:86:8b:6e:e9:91:f5:86:ca:fa:b9:66:33:aa:59:5b:ce:
         e2:a7:16:73:47:cb:2b:cc:99:b0:37:48:cf:e3:56:4b:f5:cf:
         0f:0c:72:32:87:c6:f0:44:bb:53:72:6d:43:f5:26:48:9a:52:
         67:b7:58:ab:fe:67:76:71:78:db:0d:a2:56:14:13:39:24:31:
         85:a2:a8:02:5a:30:47:e1:dd:50:07:bc:02:09:90:00:eb:64:
         63:60:9b:16:bc:88:c9:12:e6:d2:7d:91:8b:f9:3d:32:8d:65:
         b4:e9:7c:b1:57:76:ea:c5:b6:28:39:bf:15:65:1c:c8:f6:77:
         96:6a:0a:8d:77:0b:d8:91:0b:04:8e:07:db:29:b6:0a:ee:9d:
         82:35:35:10
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Sinon root la tablette, de toute manière elle n'a plus de mise à jour

Lien vers le commentaire
Partager sur d’autres sites

Les seules choses que j'arrive à vérifier sont le N° de série, le CN, l'Organisation et la validité. Tout est identique à la copie ci-dessus.

Pour le reste, j'ai les empreintes SHA-256 et SHA-1 mais pas dans la même notation donc difficile (pour moi) de comparer.

On peut tout de même supposer qu'au regard des éléments comparables, les certificats sont identiques.

Rooter ? pourquoi pas mais c'est la tablette de ma femme et si elle ne retrouve pas tout exactement comme maintenant, je vais me faire incendier grave, surtout que je n'ai aucune assurance que ça résolve le problème d'autant que le retour en arrière n'est pas possible.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.