(Résolu) Hstspreload

[Jeff777]

Bonjour à tous,

Je poste ici car je ne vois pas bien où traiter le sujet ailleurs.

Ma question est plus une curiosité qu'un véritable problème.

J'ai maintenant mes deux nas en DSM7 et je viens de réinstaller Mailplusserveur sur le nas2. J'ai toujours HSTS de configuré.

A priori tout fonctionne bien..........mais lorsque je veux tester mon domaine ndd.ovh sur https://hstspreload.org j'ai la réponse suivante :

 

Status: ndd.ovh is currently preloaded, but no longer meets the requirements. It may be at risk of removal.

Error: HTTP does not redirect to HTTPS`http://ndd.ovh` (HTTP) redirects to `http://ndd.ovh/login.php`. The first redirect from `http://ndd.ovh` should be to a secure page on the same host (`https://ndd.ovh`).

 

Pourtant, pour n'importe quelle URL mise dans le navigateur la redirection en https s'effectue. Même pour ndd.ovh qui affiche avec le petit cadenas la page d'accueil de Webstation.

Si ce n'était le status ci-dessus je ne m'inquiéterai pas plus que ça.

Une idée? Je ne trouve pas le fichier login.php dont il est question, j'utilise .htaccess pour la redirection.

 

[MilesTEG1]

Je n'ai pas ce soucis, c'est toujours ok pour mon domaine. Mais je n'ai qu'un seul NAS accessible sur interner, et j'utilise le reverse proxy pour faire les redirections.

Quand tu parles du fichier .htaccess pour la redirection c'est de laquelle dont tu parles ?

[Jeff777]

 

il y a 37 minutes, MilesTEG1 a dit :

Quand tu parles du fichier .htaccess pour la redirection c'est de laquelle dont tu parles ?

La redirection http vers https.

[MilesTEG1]

il y a 10 minutes, Jeff777 a dit :

 

La redirection http vers https.

Ha oui 😊

je l’ai aussi.

tu as eu d’autres changements ?

[Jeff777]

Ah oui....une tonne 

il y a 2 minutes, MilesTEG1 a dit :

tu as eu d’autres changements ?

Ah oui....une tonne. Je modifie en permanence 🤣.  Mon objectif actuel c'est d'avoir le site wordpress et le mail de mailplus en high availibility. C'est OK pour le site et j'ai Mailplus opérationnel sur le nas 2 mais avant de poursuivre j'aimerais régler ce problème. 

As tu une idée concernant la position du fichier login.php recherché par le test de hstspreload plus heut ?

[MilesTEG1]

il y a 27 minutes, Jeff777 a dit :

As tu une idée concernant la position du fichier login.php recherché par le test de hstspreload plus heut ?

Non désolé, aucune idée...

[Einsteinium]

Le message est pourtant clair, actuellement :

http://ndd.ovh ---> http://ndd.ovh/login.php

Alors qu'il est attendu :

http://ndd.ovh ---> https://ndd.ovh

Par contre tu dis :

Il y a 7 heures, Jeff777 a dit :

Pourtant, pour n'importe quelle URL mise dans le navigateur la redirection en https s'effectue.

Ce qui est logique, car ton navigateur le fait directement car "ndd.ovh is currently preloaded"

Par contre si tu ne corriges pas cela, ton domaine sautera à un prochaine update et la tu constateras le problème : but no longer meets the requirements. It may be at risk of removal

[Jeff777]

Oui c'est bien ce que je crains mais comment corriger :

Il y a 4 heures, Einsteinium a dit :

http://ndd.ovh ---> http://ndd.ovh/login.php

Alors qu'il est attendu :

http://ndd.ovh ---> https://ndd.ovh

Je ne sais pas ce qui est à l'origine de la redirection http://ndd.ovh --->  http://ndd.ovh/login.php !

[Einsteinium]

Tu n'as fait aucune modification niveau nginx en ssh ?

[Jeff777]

 

Il y a 6 heures, Einsteinium a dit :

Tu n'as fait aucune modification niveau nginx en ssh ?

Bonjour, Non, pas de modification.

Ce matin, sans rien changer, je n'ai plus la même réponse au test hstspreload sur ndd.ovh :

Error: Cannot connect using TLS We cannot connect to https://ndd.ovh using TLS ("Get https://ndd.ovh: dial tcp 78.xxx.xxx.xxx:443: connect: connection refused")

Ce que je ne comprends pas c'est qu'en mettant ndd.ovh dans le navigateur j'obtiens la page d'accueil de Webstation en https ce qui est normal. Et cela en local ou en extérieur.

 

[.Shad.]

Si tu as mis un blocage GeoIP sur le port 443, c'est possible que leur requête soit refusée.
Tu as regardé de ce côté-là ? Il y a aussi le fait que la base GeoIP a pu être mise à jour, et bloque la requête alors qu'elle ne le devrait pas.

[Einsteinium]

xxxx | IP : 34.134.42.231 | Os : Plateforme OS inconnue | Navigateur : BOT Browser | Referent : connexion directe | Agent utilisateur : hsts-preload-bot
xxxx | IP : 34.123.154.168 | Os : Plateforme OS inconnue | Navigateur : BOT Browser | Referent : connexion directe | Agent utilisateur : hsts-preload-bot

Voilà les dernières IP que j'ai eu d'eux 🙂

[Jeff777]

Il y a 9 heures, .Shad. a dit :

Si tu as mis un blocage GeoIP sur le port 443, c'est possible que leur requête soit refusée.

Non il n'y a pas de blocage GeoIP sur le port 443.

 

Il y a 9 heures, .Shad. a dit :

Il y a aussi le fait que la base GeoIP a pu être mise à jour, et bloque la requête alors qu'elle ne le devrait pas

ça, je ne sais pas quoi en faire. Ni d'ailleurs de ce que dit @Einsteinium

[Einsteinium]

ton domaine, ndd.ovh il renvoit vers quoi ? ton dsm directement ? ou web station ?

[Jeff777]

il y a 3 minutes, Einsteinium a dit :

ton domaine, ndd.ovh il renvoit vers quoi ? ton dsm directement ? ou web station ?

vers webstation. Comme je te disais dans un navigateur ndd.ovh renvoie la page d'accueil de Webstation en https. Je ne comprends pas pourquoi j'ai cet échec avec https://hstspreload.org/.

A noter que le test sur https://www.ssllabs.com/ssltest/analyze.html me donne A+ sur l'adresse IPV6 de mon domaine mais que l'adresse IPV4 donne "Unable to connect to the server". 

[.Shad.]

Moi j'investiguerais vers ton système de redirection IPv4/6 sur des NAS différents, je t'ai toujours dit de remettre ça à plat. 😄 
Je dis pas que c'est ça, mais qu'il y a bien 50% de chance que ça le soit. 😄 

[Einsteinium]

il y a 31 minutes, Jeff777 a dit :

A noter que le test sur https://www.ssllabs.com/ssltest/analyze.html me donne A+ sur l'adresse IPV6 de mon domaine mais que l'adresse IPV4 donne "Unable to connect to the server". 

Au début on voit un login.php, tu as mis en place un accès à la base direct de web station ? Cela pose déjà un premier problème.

Ensuite ssllabs en ipv4… c’est un peu ressemblant au second message d’erreur que tu as mis plus haut, tu as modifier quelques choses depuis le premier message ?

Édit : je me suis permis de joindre ton ip directement, on tombe sur l’interface de ta Freebox (en http seulement, en https rien d’accessible), voilà l’origine du login.php, donc modifie dans ta Freebox le port d’accès distant de l’interface et tu n’auras plus de problème 🙂

[Jeff777]

il y a 52 minutes, Einsteinium a dit :

Au début on voit un login.php, tu as mis en place un accès à la base direct de web station ?

non rien de la sorte. Du moins pas volontairement.

 

il y a 52 minutes, Einsteinium a dit :

Ensuite ssllabs en ipv4… c’est un peu ressemblant au second message d’erreur que tu as mis plus haut, tu as modifier quelques choses depuis le premier message ?

Non mais avant le premier message j'avais modifié dans ma zone une référence à l'IPV6 de mon ancien DS212+ qui n'est maintenant plus dans le circuit. Il est possible que la modif ne se soit pas propagée.

il y a une heure, .Shad. a dit :

Moi j'investiguerais vers ton système de redirection IPv4/6 sur des NAS différents, je t'ai toujours dit de remettre ça à plat. 😄 
Je dis pas que c'est ça, mais qu'il y a bien 50% de chance que ça le soit.

Je crois que l'on peut dire 99%. En fait je viens de refaire quelques tests en déconnectant un serveur puis l'autre. La redondance ne fonctionne plus si je coupe le nas1. Il faut que je rajoute l'IPV6 du nas2 en ns pour que cela refonctionne. Une chose m'a mis la puce à l'oreille : sur la page d'accueil des deux nas j'ai un test qui me dit si je suis en IPV4 ou IPV6. Depuis que j'ai remplacé le DS212+ par le DS220+ j'ai toujours les connexions en IPV6 sur les deux nas alors que théoriquement elle est en IPV4 sur le nas2. Ce qui signifie que je passe toujours par le nas 1 et jamais directement sur le 2. Je peux même dire que la connexion en IPV4 est impossible puis qu'en coupant le nas1 je n'arrive plus à joindre le nas2 sauf si je lui mets l'IPV6.

Reste à savoir pourquoi j'ai perdu la possibilité de joindre le nas 2 en IPV4 (j'ai toujours la connectivité IPV4 et IPV6 depuis mon PC et les deux nas affichent leurs IPV4 et 6). La redirection du port 443 vers le nas2 est toujours effective dans le routeur et les autres paramètres du routeur n'ont pas changé.

J'ai vu que Free était passé de IPV4 natif à IPV6 natif. Il faut que je creuse ce point. Tu aurais une autre idée ? ...et ne me dis pas qu'il faut arrêter mes délires 😉

Modifié le 16 janvier 2022 par Jeff777

[Einsteinium]

Oh la vache tu es d’une violence le soir à sortir des pâtés pareils 😄

Free fait de l’ipv4 dans l’ipv6… cela permet d’être en ipv4 et de joindre sans soucis des adresses ipv6 et inversement d’être accessible d’une ipv6 vers notre ipv4, je penses que tu t’emmerdes avec l’ipv6 ^^

On y passera un jour… mais on a encore le temps.

[MilesTEG1]

@Jeff777 As-tu vu l'édit de @Einsteinium :

Il y a 7 heures, Einsteinium a dit :

Édit : je me suis permis de joindre ton ip directement, on tombe sur l’interface de ta Freebox (en http seulement, en https rien d’accessible), voilà l’origine du login.php, donc modifie dans ta Freebox le port d’accès distant de l’interface et tu n’auras plus de problème 🙂

Il faudrait vérifier la redirection de port dans ta freebox 🙂 

[Jeff777]

Le 17/01/2022 à 00:18, Einsteinium a dit :

Free fait de l’ipv4 dans l’ipv6

Bonjour,

Oui mais :

 

L'IPv6 est délivré aujourd'hui sous forme de tunnel (6RD) au dessus l'IPv4 (dit natif). En raison des évolutions internes de notre réseau, le système va progressivement être inversé, et c'est désormais l'IPv6 qui sera natif, et l'IPv4 délivré sous forme de tunnel.

Pour cette raison, désactiver l'IPv6 complètement sur une Freebox revient à potentiellement diminuer les performances réseaux, donc nous enlevons la possibilité de désactiver celui-ci globalement. Cette fonction avait été introduite il y a plus de 10 ans au même moment que la fonction IPv6 de la Freebox, afin d'éviter les problèmes d'interopérabilité avec les systèmes d'exploitation de l'époque.

Notez qu'il est toujours possible de désactiver l'IPv6 sur le périphérique lui-même."

D'après ce site : https://www.universfreebox.com/article/4381/Suis-je-bien-passe-en-IPv6, je suis en IPV4 natif.

Edit : mais https://ipv6-test.com/ me dit IPV6 natif 🙄

Le 16/01/2022 à 23:11, Einsteinium a dit :

Édit : je me suis permis de joindre ton ip directement, on tombe sur l’interface de ta Freebox (en http seulement, en https rien d’accessible), voilà l’origine du login.php, donc modifie dans ta Freebox le port d’accès distant de l’interface et tu n’auras plus de problème

En découvrant ton Edit, j'ai fait la modif et remplacé les ports 80/443 (il me semble que c'est relativement récent que j'ai les ports classiques 🙄) par n'importe quoi et Bingo !!! Bravo plus 10 !

 

Maintenant je vais faire des tests intensifs mais à priori j'ai retrouvé la redondance.

Le 17/01/2022 à 00:18, Einsteinium a dit :

On y passera un jour… mais on a encore le temps.

Je m'y prépare. Du coup je vais ajouter son ns IPV6 au nas 2. 

Modifié le 18 janvier 2022 par Jeff777

[Einsteinium]

il y a une heure, Jeff777 a dit :

En découvrant ton Edit, j'ai fait la modif et remplacé les ports 80/443 (il me semble que c'est relativement récent que j'ai les ports classiques 🙄) par n'importe quoi et Bingo !!! Bravo plus 10 !

Je pensais que tu l’avais déjà vue 🤣
Tu as de la chance que je sois chez free (login.php m’a mis la puce) et modérateur, sinon on aurait cherché encore longtemps 😝

[Jeff777]

il y a 2 minutes, Einsteinium a dit :

sinon on aurait cherché encore longtemps 😝

Le pire c'est que je crois que j'ai déjà eu ce soucis une fois. Ah.... Alzheimer 🤣. Du coup tu peux mettre en résolu.