Impossible d'accéder aux sites HTTPS, que peut être la cause ?

NET::ERR_CERT_AUTHORITY_INVALID

a marqué ce sujet comme résolu.

Bonsoir ! :)

Depuis hier soir, j’ai des coupures d’internet très fréquente. Toutes les 5 à 10 minutes, pendant plusieurs minutes (voir dizaines de minutes).

J’ai appelé mon FAI qui fait intervenir un technicien demain, donc je ne créé pas ce sujet pour demander comment résoudre ce problème. En revanche, j’ouvre celui-ci pour essayer de comprendre quelque chose.

Quand je n’ai plus internet et que, sur ma Box, il est indiqué "Réseau Orange non détecté, vérifiez vos branchements", je parviens de temps en temps à accéder à des sites web… ou du moins, une page d’erreur Chrome m’indiquant que ma connexion n’est pas privée, avec le HTTPS barré et le code d’erreur : NET::ERR_CERT_AUTHORITY_INVALID

Je ne m’y connais absolument pas en réseau (mais alors pas du tout), donc je ne peux rien supposer de cette observation, mais j’imagine quand même que j’ai internet, puisque il arrive à trouver les noms de domaine.

Mais alors, pourquoi tout les sites HTTPS ne sont pas sécurisé, me provoquant une erreur m’indiquant que des individus malveillants essayent probablement de voler mes données ?

Merci ! :)

+0 -0

Voici ma théorie :

Ton routeur (Livebox) n’a pas accès au réseau extérieur. Il se permet donc de re-router (via DNS ou IP) tes requêtes sur lui-même (son serveur HTTP intégré) pour t’afficher un portail qui dit "Réseau Orange non détecté, vérifiez vos branchements".

Quand tu essaies d’accéder à un site en HTTP, tu tombe sur la page de la Livebox grâce à sa petit magouille et tout va bien, aucune erreur.

Quand tu essaies d’accéder à un site en HTTPS, tu tombes aussi sur le serveur HTTP de la Livebox sauf qu’elle n’est pas en capacité de s’authentifier comme le site correspondant au nom de domaine. Et c’est normal : seul le véritable serveur en mesure d’authentifier correctement sa réponse peut le faire (car il peut la signer en utilisant la bonne clef associé au bon certificat que va vérifier le navigateur). Le navigateur détecte donc ce qui s’apparente à une attaque Man in the Middle, d’où l’erreur NET::ERR_CERT_AUTHORITY_INVALID (certificat invalide). Il détecte que le serveur en question n’est pas celui qui correspond au nom de domaine, et lève donc l’erreur.

Les certificats HTTPS servent précisément à ça : à pouvoir s’assurer qu’on parle bien au bon serveur.

Donc, je dirais que tu n’as toujours pas Internet, même quand tu tombe sur l’erreur HTTPS.

+1 -0

D’accord, je comprend mieux.

En revanche, je n’ai pas bien saisi comment le navigateur peut vérifier si le certificat est authentique ou non sans avoir accès à internet… je vais devoir me pencher bien plus sérieusement sur le HTTPS.

En tout cas, merci pour ta réponse. :)

+0 -0

En revanche, je n’ai pas bien saisi comment le navigateur peut vérifier si le certificat est authentique ou non sans avoir accès à internet… je vais devoir me pencher bien plus sérieusement sur le HTTPS.

FougereBle

Ton système et/ou ton navigateur contient au préalable un liste des autorités de certification dignes de confiance. Cette liste est consultable quelque part dans les paramètres du navigateur. Quand on présente un certificat, le navigateur peut donc vérifier si le certificat émane bien d’une CA (autorité de certification) jugée sûre, cela sans avoir besoin d’un accès au réseau.

Bien entendu, il n’est pas possible de truander un certificat pour faire comme s’il avait été signé par une vraie CA. Il n’est pas non plus possible de présenter un certificat auto-signé (= par sa propre CA), sauf si tu as configuré toi-même ton système pour accepter certaines CA « maison » (ça peut avoir une utilité en entreprise).

En revanche, il est vrai qu’être en ligne est utile pour vérifier si un certificat a été révoqué avant l’heure, grâce au protocole OCSP par exemple. (on demande simplement à un service externe si le certificat présenté est toujours bon).

En l’occurrence, tu as une erreur de certificat mais je ne pense pas que le serveur HTTP de la Livebox essaie de truander une faux certificat. Je pense qu’il ne présente tout simplement pas de certificat (ce qui revient au même pour le navigateur : erreur).

+0 -0

Ou un certificat autosigné qui ne correspond pas au nom de domaine, mais tu dois pouvoir normalement avoir plus d’infos disponibles et notamment pouvoir consulter le certificat s’il existe.

Je confirme que la théorie de sgble me semble plausible et probable ^^

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte