WEBGUI : Échec de la connexion sécurisée avec Firefox
-
Bonjour à tous,
J'utilise pfSense depuis la version 1.2 et j'ai jamais eu ce problème survenu depuis l'update 2.3.x (mais peut-être en 2.1 ou 2.2, j'ai pas essayé toutes les versions)
Tous mes pfSense sont configurés avec le WEB GUI en https sur le port 443
Sur les versions précédentes, avec Firefox j'avais une alerte de sécurité concernant le certificat auto signé, je pouvais enregistrer l'exception et tout allait bien.Depuis quelques temps, je pense qu'une mise à jour de Firefox pose un problème de compatibilité car l'interface WEB est devenue plus lente qu'avec IE, qui lui n'enregistre pas l'exception de sécurité et donne une alerte à chaque connexion.
Actuellement tous mes pfSense sont en version 2.0.3 et Firefox à la dernière version.
Pour résoudre ce problème de lenteur, j'ai mis en place un pfSense virtuel tout neuf en 2.3.1 pour gérer une autorité de certification et générer des certificats pour chaque pfSense, j'ai exporté chaque clé privées et chaque certificat, et importé le tout dans chaque routeur respectif en pfSense 2.0.3, importer le cerficat de l'autorité de certification dans Windows 10 et tout va bien, surtout l'interface WEB est plus rapide et il n'y a plus d'hésitation de Firefox, plus d'alerte, ni avec FF ni avec IE.
Bien sûr je ne veux pas rester dans cette vieille version, mais ça on verra plus tard.
J'ai aussi créé un certificat pour le pfSense hébergeant l'autorité de certification qui est en 2.3.1, et là, surprise FF ne veut plus se connecter or qu'avec IE 11 et Edge ça fonctionne, sans alerte ni lenteur, j'ai cette erreur :
Echec de la connexion sécurisée
La connexion avec 10.0.0.252:443 a été interrompue pendant le chargement de la page.
La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
Veuillez contacter les propriétaires du site web pour les informer de ce problème.J'ai essayé sans succès, obtenant toujours le même défaut :
1 Upgrader un pfSense de test de 2.0.3 à 2.3.1
2 Upgrader aujourd'hui à la version 2.3.2-RELEASE-p1 (amd64) built on Tue Sep 27 12:13:07 CDT 2016 FreeBSD 10.3-RELEASE-p9
3 j'ai vérifié le certificat avec IE il n'y a rien d'anormal
4 j'en ai refait un autre : idem
5 Changer de PC : idemLorsque je créé un certificat dans System/ Certificate Manager/ Certificates /Edit je fais les choix suivants :
Method : Create an internal certificate
Descriptive name : monrouteur.mondomaine.net (le domaine est enregistré dans les DNS et la résolution est OK)
Certificate authority : un seul choix possible, c'est mon autorité.
Digest Algorithm : sha256 (par défaut)
Certificate Type : Server Certificate
Lifetime (days) : 3650 (dix ans par défaut)
Country Code : FR
State or Province : FRANCE
City : Ma Ville
Organization : mon Organisation
Organizational Unit : vide
Email Address : email de l'administrateur
Common Name : monrouteur.mondomaine.net
Alternative Names : IP Adress : 10.0.0.252Evidemment, pour chaque certificat je change les champs name et IP address
Si quelqu'un peut m'aider, je suis preneur, car là j'en perds mon latin, mais je ne voudrais pas perdre mon Firefox pour passer en 2.3
Cordialement
Merci d'avanceSerge
-
A priori Pfsense est étranger au problème. Avez vous regardé cette page :
https://support.mozilla.org/fr/kb/sites-chargent-pas-investiguer-corriger-erreur ?
Je n'utilise que Firefox et j'accède à de nombreuse version différentes de Pfsense qui ont majoritairement des certificats auto-signés sans rencontrer de difficulté.En marge de votre problème principal :
j'ai mis en place un pfSense virtuel tout neuf en 2.3.1 pour gérer une autorité de certification et générer des certificats pour chaque pfSense
Est-ce uniquement pour cette raison ?
Si oui il y a plus simple : xca. Et bien sur openssl en ligne de commande. Sur le principe c'est une bonne idée de monter une CA interne. -
+1 pour ccnet (ce n'est pas une surprise)
La gestion des certificats, disponible sous pfSense, sous une forme aussi facile à utiliser, présente plusieurs risques : être présente au niveau du firewall, quelles sauvegardes.
A partir d'un certain niveau de sécurité (souhaité), d'un certain niveau de complexité d'entreprise, il faut envisager de disposer d'une infra de PKI adaptée : xca, ejbca, phpki, … (windows ?)
Vous semblez avoir une approche méthodique : continuez dans le sens en mettant à jour régulièrement vos firewall ...
NB : j'ai été dans la même situation (de trainer à mettre à jour) ...
NB : attention, des différences sensibles à partir de 2.2 : dns, ftp, ...
-
Merci pour vos réponses rapides.
Oui moi aussi j'ai d'abord cherché du coté de FF
J'ai suivi votre lien sur le site Firefox, j'y ai trouvé beaucoup de lien que j'avais déjà visité (en violet)
Dans ce topic, j'ai suivi le lien https://support.mozilla.org/fr/kb/firefox-peut-pas-charger-sites-autres-peuvent
Et j'ai appliqué :
Désactivé l'IPV6 : network.dns.disableIPv6 à True
Effacé l'historique (Tout, Cookies et Cache)
Désactivé le Préchargement DNS network.dns.disablePrefetch à True
Il n'y a pas de proxy de configurer
Redémarré FF , pas de changement.
Je lance MalwareBytes …..
Pour mon autorité de certification sous pfSense, j'ai fait ce choix pour assurer une compatibilité parfaite entre les systèmes.
J'espère que le problème ne vient pas de là !!
Pour la sécurité, ce pfSense n'a pas d'accès à Internet, et tous les certificats créer sont sauvegardé sur mon DD pour chaque exportation. Donc là je ne craint pas grand chose.
A suivre.
-
non il n'y a pas de problème de "compatibilité". X509 reste X509, quel que soit le système et il n'y a aucune raison de choisir pfSense ou n'importe quel autre système d'ailleurs ;) tant que les certificats générés suivent les RFC.
Le seul vrai inconvénient de la PKI de pfSense, c'est que celle-ci est sur la machine qui sert de pare-feu :-
et déployer une machine pfSense qui ne ferait pas office de pare-feu juste pour avoir une interface graphique afin de gérer des certificats, ce n'est pas non plus un choix très "économique".As-tu essayé de télécharger la clé publique du CA et de l'installer dans la liste des CA trustés par ton navigateur ?
Dans tous les cas, PKI pfSense ou autre, dès lors que le certificat parent n'est pas dans la liste de ceux inclus par défaut dans la plupart des navigateurs, il faudra soit déployer la clé publique du CA soit l'accepter sur chaque machine (et même un peu plus que "sur chaque machine" car entre IE, Firefox, Java etc…, tous ne partagent pas la même base de CA trustés >:(
-
Pour mon autorité de certification sous pfSense, j'ai fait ce choix pour assurer une compatibilité parfaite entre les systèmes.
D'où ma question car c'est ce que je soupçonnais. Comme expliquer ce dessus, c'est inutile. X509 n connait pas de variantes selon les outils utilisés. J'ai par exemple encore cette semiane récupérer des certificats et clés existant, générés je ne sais comment ni avec quoi pour produire un pfx avec XCA, mais en Novembre dernier j'ai fait la même chose en utilisant OpenSSL. Il peut arriver que l'on génère le trousseau de clés dans XCA et de faire la CSR sur le site de l'autorité de certification avec son outil en ligne. Bref tout cela est du X509. On ne parle même pas de compatibilité.
Évidement l'hébergement de la PKI sur le firewall c'est très moyen.