Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Https - soucis TLS, handshake

    Scheduled Pinned Locked Moved Français
    3 Posts 3 Posters 767 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      groy
      last edited by

      Bonjour,

      Contexte : firewall en prod, pas d'accès à un site métier accessible en https et lancement d'une appli flash player

      Au niveau des régles, le https 443 est ouvert vers n'importe où.
      la connexion arrive bien au serveur de destination, mais le navigateur mouline pour ne rien lancer finalement.
      Depuis un autre site (sans pfsense) la connexion se fait et l'appli flahplayer se lance sans soucis.

      J'ai finalement passer un coup de Wireshark sur le site où cela fonctionne et sur celui (pfsense) où cela ne fonctionne pas.

      résultat:
      la différence à l'air de se faire au niveau du SERVER HELLO
      dpeuis le site ou cela fonctionne j'ai un : server hello , change cipher spec, encrypted handshake message (sans_pfsense.png)
      depuis le site (pfsense) où cela ne fonctionne pas j'ai un : server hello (avec_pfsense.png)

      voir screenshots

      apparement ça serait la handshake qui ne passe pas.

      La connexion doit être réinitialisée pendant la connexion mais je ne vois pas comment l'éviter dans pfsense.
      Quelqu'un aurait une idée ?

      Cordialement,
      groy

      EDIT: résolu,  en téléchargeant le certificat SSL depuis un autre accés et en l'installant sur les postes concernés derrière le pfsense.
      par contre sur sites sans pfsense à aucun moment il ne faut installer le certificat donc quelque chose doit bloquer, mais quoi….
      avec_pfsense.PNG
      avec_pfsense.PNG_thumb
      sans_pfsense.PNG
      sans_pfsense.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • P
        prov
        last edited by

        Bonjour,

        Il aurait été intéressant de voir le contenu des paquets hello client/serveur.

        pfSense fait office uniquement de firewall ou d'autres paquets sont-ils également installés dessus (squid, par exemple) ?

        Tutoriels pfSense - provya.net

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Quelques question en plus de celle qui précède qui est importante mais en principe en https le proxy (si proxy) n'intervient pas.
          Le navigateur utilisé est le même sur la même machine ?
          C'est TLS v1 qui est utilisé ? On ne devrait utiliser que la version 1.2 sur le plan sécurité.
          Il possible que le navigateur ne puisse pas vérifier la chaine de confiance du certificat.
          Vous pouvez tester l'état de votre site d'un point de vue ssl avec https://www.ssllabs.com/ssltest/

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.