Https - soucis TLS, handshake
-
Bonjour,
Contexte : firewall en prod, pas d'accès à un site métier accessible en https et lancement d'une appli flash player
Au niveau des régles, le https 443 est ouvert vers n'importe où.
la connexion arrive bien au serveur de destination, mais le navigateur mouline pour ne rien lancer finalement.
Depuis un autre site (sans pfsense) la connexion se fait et l'appli flahplayer se lance sans soucis.J'ai finalement passer un coup de Wireshark sur le site où cela fonctionne et sur celui (pfsense) où cela ne fonctionne pas.
résultat:
la différence à l'air de se faire au niveau du SERVER HELLO
dpeuis le site ou cela fonctionne j'ai un : server hello , change cipher spec, encrypted handshake message (sans_pfsense.png)
depuis le site (pfsense) où cela ne fonctionne pas j'ai un : server hello (avec_pfsense.png)voir screenshots
apparement ça serait la handshake qui ne passe pas.
La connexion doit être réinitialisée pendant la connexion mais je ne vois pas comment l'éviter dans pfsense.
Quelqu'un aurait une idée ?Cordialement,
groyEDIT: résolu, en téléchargeant le certificat SSL depuis un autre accés et en l'installant sur les postes concernés derrière le pfsense.
par contre sur sites sans pfsense à aucun moment il ne faut installer le certificat donc quelque chose doit bloquer, mais quoi….
-
Bonjour,
Il aurait été intéressant de voir le contenu des paquets hello client/serveur.
pfSense fait office uniquement de firewall ou d'autres paquets sont-ils également installés dessus (squid, par exemple) ?
-
Quelques question en plus de celle qui précède qui est importante mais en principe en https le proxy (si proxy) n'intervient pas.
Le navigateur utilisé est le même sur la même machine ?
C'est TLS v1 qui est utilisé ? On ne devrait utiliser que la version 1.2 sur le plan sécurité.
Il possible que le navigateur ne puisse pas vérifier la chaine de confiance du certificat.
Vous pouvez tester l'état de votre site d'un point de vue ssl avec https://www.ssllabs.com/ssltest/