[SPIP Zone] Certificat spip.net ?

nicod · Novembre 10, 2017, 3:06

Hello,

quand je fais un wget https://www.spip.net/spip-dev/INSTALL/spip_loader.php depuis un serveur, j'ai une erreur :

--2017-11-10 16:03:59-- https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Resolving www.spip.net... 188.165.40.192
Connecting to www.spip.net|188.165.40.192|:443... connected.
ERROR: certificate common name `geodiversite.net' doesn't match requested host name `www.spip.net'.
To connect to www.spip.net insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

Voilà, pour info.

--
nicod_

klaus · Novembre 11, 2017, 7:54

C'est un truc bizarre - j'ai eu le même message quand j'ai essayé de
récupérer
http://www.spip.net/spip-dev/INSTALL/spip_loader.php
depuis un compte utilisateur de notre serveur.

J'ai été redirigé vers
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
suivi de l'avertissement et je me suis trouvé dans l'impossibilité de
récupérer le fichier.

La même opération sous le compte root s'est déroulée sans problème.

Ma conclusion est qu'il doit y avoir un problème du réglage des droits
sur notre serveur, on pourrait aussi citer la fameuse phrase "it's not a
bug, it's a feature". On ne voudrait pas exposer les pauvres
utilisateurs aux risques des certificats mal configurés, root par contre
est censé savoir ce qu'elle/il fait ...

Alors c'est à examiner des deux côtés - est-ce qu'il y a encore qqn qui
a fait l'expérience ?

:-)k++

On 10.11.2017 16:06, nicod_ wrote:

Hello,

quand je fais un wget
https://www.spip.net/spip-dev/INSTALL/spip_loader.php depuis un serveur,
j'ai une erreur :

--2017-11-10 16:03:59--
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Resolving www.spip.net... 188.165.40.192
Connecting to www.spip.net|188.165.40.192|:443... connected.
ERROR: certificate common name `geodiversite.net' doesn't match
requested host name `www.spip.net'.
To connect to www.spip.net insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

Voilà, pour info.

b_b · Novembre 11, 2017, 9:39

Salut,

Le problème a déjà été abordé ici :

Il semble que votre proxy ou votre infra réseau utilise une version dépassée d'openssl ne supportant pas SNI, et c'est ce qui provoque l'erreur de votre côté :

Ton problème doit venir d'une version dépassée de openssl, cf ce que je disais dans le premier message cité ci-dessus :

Il semble que votre proxy ou votre infra réseau utilise une version dépassée d'openssl ne supportant pas SNI, et c'est ce qui provoque l'erreur de votre côté.

++
b_b

Le 10/11/2017 à 16:06, nicod_ a écrit :

Hello,

quand je fais un wget https://www.spip.net/spip-dev/INSTALL/spip_loader.php depuis un serveur, j'ai une erreur :

--2017-11-10 16:03:59-- https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Resolving www.spip.net... 188.165.40.192
Connecting to www.spip.net|188.165.40.192|:443... connected.
ERROR: certificate common name `geodiversite.net' doesn't match requested host name `www.spip.net'.
To connect to www.spip.net insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

Voilà, pour info.

nicod · Novembre 11, 2017, 12:58

Le 11/11/2017 à 10:39, Bruno Bergot a écrit :

Salut,

Le problème a déjà été abordé ici :

Discuter chez rezo.net

Ah oui, my bad...
J'avais suivi de très loin ces histoires de proxy et d'openssl du coup j'ai pas tilté.
Effectivement une mise à jour est prévue sur mon serveur.

Désolé pour le bruit,

--
nicod_

b_b · Novembre 11, 2017, 4:03

Désolé pour la répétition dans le mail précédent, je voulais coller l'adresse suivante en plus des deux autres :

https://forum.spip.net/fr_267345.html?debut_forums=%40267376#forum267376

Juste pour info, quelle version de openssl disposes-tu sur ton serveur ?

Perso je ne rencontre pas le problème sur une machine sous ubuntu 14.04.05 qui propose openssl 1.0.1f.

++
b_b

Le 11/11/2017 à 13:58, nicod_ a écrit :

Ah oui, my bad...
J'avais suivi de très loin ces histoires de proxy et d'openssl du coup j'ai pas tilté.
Effectivement une mise à jour est prévue sur mon serveur.

Désolé pour le bruit,

nicod · Novembre 11, 2017, 5:14

Le 11/11/2017 à 17:03, Bruno Bergot a écrit :

Désolé pour la répétition dans le mail précédent, je voulais coller l'adresse suivante en plus des deux autres :

SPIP Forums

Juste pour info, quelle version de openssl disposes-tu sur ton serveur ?

Perso je ne rencontre pas le problème sur une machine sous ubuntu 14.04.05 qui propose openssl 1.0.1f.

C'est un serveur chez Alwaysdata avec OpenSSL 1.0.2h (3 May 2016).

J'ai dit une bétise, il y a une migration/mise à jour prévue mais openSSL n'est pas concerné.

Du coup, je vais peut être soumettre le cas au support technique pour voir ce qu'ils en pensent...

--
nicod_

nicod · Novembre 11, 2017, 5:45

Le 11/11/2017 à 18:14, nicod_ a écrit :

Du coup, je vais peut être soumettre le cas au support technique pour voir ce qu'ils en pensent...

Bon, je leur ai posé la question avec les liens de discussions.
Ils auront sûrement un retour intéressant.

Ils étaient venus discuter sur spip-dev une fois, à propos de performances / cache, c'était intéressant.

--
nicod_

nicod · Novembre 13, 2017, 11:26

Le 11/11/2017 à 18:45, nicod_ a écrit :

Le 11/11/2017 à 18:14, nicod_ a écrit :

Du coup, je vais peut être soumettre le cas au support technique pour voir ce qu'ils en pensent...

Bon, je leur ai posé la question avec les liens de discussions.

Retour : tout connement c'est la version de wget qui n'est pas à jour et qui ne supporte pas le SNI.

Fin de l'histoire

--
nicod_