Bonjour,
J'ai configuré un certificat letsencrypt avec un hébergement de 100Mo, pour le domaine amis-sh.fr.
J'ai désactivé le certificat puis résilié l'hébergement de 100Mo pour faire pointer le domaine vers un serveur VPS.
Lorsque je me connecte au site, c'est le certificat de OVH qui est demandé, et non pas celui du VPS.
Pouvez vous m'aider à révoquer le certificat de amis-sh.fr lié au cluster029.hosting.ovh.net. ?
Je n'ai plus accès à l'hébergement de 100 Mo qui est résilié depuis le manager ovh.
Je ne sais pas utiliser l'API pour révoquer un certificat.
Peut être un administrateur OVH qui lit le message pourra t'il révoquer le certificat de amis-sh.fr ?
Le message d'erreur :
amis-sh.fr a recours à une stratégie de sécurité HTTP Strict Transport Security (HSTS), une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.
Le problème vient probablement du site web, vous ne pouvez donc pas y remédier. Vous pouvez le signaler aux personnes qui administrent le site.
Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour amis-sh.fr. Le certificat n’est valide que pour cluster029.hosting.ovh.net.
Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN
Connexion bloquée : problème de sécurité potentiel
Related questions
- Ssh_init: Host does not exist
24173 
13.11.2017 01:40
- Code d’erreur : DLG_FLAGS_SEC_CERT_CN_INVALID ?
23344 14.08.2018 09:32
- LetsEncrypt et erreur DNS A / AAAA
22162 16.04.2019 15:34
- SSL Cloudflare chez OVH
20837 28.04.2017 09:51
- Err_too_many_redirects
20315 12.11.2017 15:36
- Certificat Let's encrypt
20137 21.08.2017 17:44
- Impossible d'activer le certificat SSL pour HTTPS
19813 07.01.2021 02:44
- Net::err_cert_common_name_invalid
19391 29.05.2017 08:20
- Trop de redirections suite au HTTPS
18979 14.12.2016 14:30
- Prise en charge du protocole MQTT
17660 06.04.2017 13:57
Bonjour @BernardB14
Chez moi c'est bon :
Bonjour,
vous avez un TTL de 24H, donc il faut 48H au maximum pour que les cache DNS soit reset.
Cordialement, janus57
Bonjour,
Merci de votre réponse.
Cela fait quelques jours déjà que j'ai configuré les DNS vers le serveur VPS..
Le domaine semble bien utiliser les DNS de l'hébergeur du VPS et pointer vers l'adresse IP du VPS.
Le certificat letsencrypt de OVH garde la main sur le certificat letsencrypt généré sur le VPS.
Le certificat n’est valide que pour cluster029.hosting.ovh.net.
Le certificat généré sur le VPS n'est donc pas utilisé.
J'aurais aimé révoquer le certificat letsencrypt généré par OVH pour le domaine 1sh.fr.sh.fr.
Dans la configuration des DNS, je remarque que NS Anycast est toujours présent :
Je ne sais pas si cela est normal.
1sh.fr.sh.fr. 0 NS dns200.anycast.me.
1sh.fr.sh.fr. 0 NS ns200.anycast.me.
1sh.fr.sh.fr. 0 NS ns1.contabo.net.
1sh.fr.sh.fr. 0 NS ns2.contabo.net.
Bonjour,
pourtant la zone DNS a été modifié 4 fois aujourd’hui.
[code]
;; ANSWER SECTION:
1sh.fr.sh.fr. 86400 IN SOA ns1.contabo.net. hostmaster.contabo.com. 20240711**04** 3600 7200 2419200 10800
[/code]
impossible, si vous voyez le certificat OVH c'est que votre flux est renvoyé vers OVH.
ce n'est pas le cas en pratique :
[code]
:~# whois 1sh.frsh.fr
%%
%% This is the AFNIC Whois server.
%%
%% complete date format: YYYY-MM-DDThh:mm:ssZ
%%
%% Rights restricted by copyright.
%% See https://www.afnic.fr/en/domain-names-and-support/everything-there-is-to-know-about-domain-names/find-a-domain-name-or-a-holder-using-whois/
%%
%%
domain: 1sh.frsh.fr
status: ACTIVE
eppstatus: active
hold: NO
holder-c: ANO00-FRNIC
admin-c: ANO00-FRNIC
tech-c: OVH5-FRNIC
registrar: OVH
Expiry Date: 2024-09-04T13:54:37.768631Z
created: 2023-09-04T13:54:37.787725Z
last-update: 2024-07-10T17:47:15.277331Z
source: FRNIC
nserver: ns1.contabo.net
nserver: ns2.contabo.net
source: FRNIC
[/code]
Là vous avez visiblement un problème avec vos serveurs DNS sur votre réseau + le fait que votre IPv6 est peut être incorrecte sur le reverse qu'elle renvoie.
Cordialement, janus57
Merci de votre retour.
J'ai du modifer la zone DNS encore ce jour ..
(J'ai bien créé les DNS A et AAAA sur le manager DNS de contabo, pour le domaine et les sous domaines.)
Depuis le manager OVH je lis :
1- Vous utilisez actuellement les serveurs DNS suivants :
ns1.contabo.net
ns2.contabo.net
2- Pour que votre zone DNS ci-dessous soit prise en compte, veuillez utiliser les serveurs DNS suivants :
dns200.anycast.me
ns1.contabo.net
ns2.contabo.net
ns200.anycast.me
Je consulter la zone DNS depuis le manager OVH, j'ai 4 DNS NS affichés :
1sh.fr.sh.fr. 0 NS dns200.anycast.me.
1sh.fr.sh.fr. 0 NS ns200.anycast.me.
1sh.fr.sh.fr. 0 NS ns1.contabo.net.
1sh.fr.sh.fr. 0 NS ns2.contabo.net.
Au début de la configuration manuelle des DNS OVH je lis pour l'enregistrement SOA :
$TTL 3600
@ IN SOA dns200.anycast.me. tech.ovh.net. (2024071101 86400 3600 3600000 60)
-------------------------------------------------
Pour le serveur VPS :
IP address: 185.209.228.195
Reverse DNS: OK vmi1448006.contaboserver.net
Reverse DNS Authenticity: OK Verified
Reverse DNS Domain: 195.228.209.185.in-addr.arpa
L'adresse IPV6 utilisée est 2a02:c206:2144:8006::1 et le reverse vers vmi1448006.contaboserver.net :
IP address: 2a02:c206:2144:8006::1
Reverse DNS: OK vmi1448006.contaboserver.net
Reverse DNS Authenticity: Warn Could be forged: Hostname 'vmi1448006.contaboserver.net' does not exist
Reverse DNS Domain: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.6.0.0.8.4.4.1.2.6.0.2.c.2.0.a.2.ip6.arpa
Cela semble correct, vmi1448006.contaboserver.net étant le VPS ?
Pour le Warn Could be forged je ne sais pas.
-------------------------------------------------
Si je me connecte à 1sh.frsh.fr depuis le navigateur Firefox, Brave ou Chrome je continue d'avoir ce message :
Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour 1sh.fr.sh.fr. Le certificat n’est valide que pour cluster029.hosting.ovh.net.
Depuis le téléphone mobile android, je peux, c'est étonnant, me connecter au site 1sh.frsh.fr hébergé sur le VPS et naviguer.
Bonjour,
mauvais endroit, il faut vérifier dans "serveur DNS" et non pas zone DNS.
à ignorer c'est faux
c'est pas ce qui est déclaré dans votre zone DNS :
[code];; ANSWER SECTION:
1sh.fr.sh.fr. 86400 IN AAAA 2a02:c207:0:842::1[/code]
comme dit plus haut faut vérifier votre réseau local, déjà si vous faite un ping de 1sh.frsh.fr est-ce que cela résout bien vers "185.209.228.195" ?
Et au passage votre serveur envoie plusieurs headers HSTS (Cf : https://www.ssllabs.com/ssltest/analyze.html?d=amis%2dsh.fr&s=185.209.228.195)
Cordialement, janus57
Votre adresse IPv4 pointe vers un serveur chez Contabo.
Votre IPv6 pointe vers 2a02:c207:0:842::1 et ceci est une erreur.
**Serveur DNS NS configuré depuis OVH ok** :
ns1.contabo.net 79.143.182.242 Actif
ns2.contabo.net 178.238.234.231 Actif
Effectivement je me suis trompé d'ipv6 en déclarant les domaines/sous-domaines sur la zone DNS du manager contabo. J'ai corrigé pour utiliser l'**ipv6 : 2a02:c206:2144:8006::1**
Plusieurs headers HSTS, il doit s'agir d'un HSTS par sous domaine.
J'ai déclaré certains sous-domaines en HSTS preload :
wiki.1sh.frsh.fr Status: wiki.1sh.frsh.fr is currently preloaded.
php.1sh.frsh.fr Status: php.1sh.frsh.fr is currently preloaded.
**1sh.fr**sh.fr** Status: 1sh.frsh.fr is currently preloaded, but no longer meets the requirements. It may be at risk of removal.
**Error: Multiple HSTS headers** Response error: Multiple HSTS headers (number of HSTS headers: 2).
**Error: No redirect from HTTP**`http://1sh.fr` sh.fr` does not redirect to `https://1sh.fr`. sh.fr`.
**Pas de redirection vers https://**
J'ai tenté de supprimer le hsts preload de 1sh.frsh.fr :
Eligibility: In order for 1sh.frsh.fr to be eligible for removal from the preload list, the errors below must be resolved:
**Error: Multiple HSTS headers** Response error: Multiple HSTS headers (number of HSTS headers: 2).
**PING 1sh.fr**sh.fr** pointe vers l'adresse **IP de l'hébergement OVH : 51.91.236.255**
Il **devrait pointer vers 185.209.228.195** je ne sais pas corriger.
Le DNS A pour 1sh.frsh.fr www.1sh.frsh.fr et *.1sh.frsh.fr est déclaré pour utiliser 185.209.228.195 ( depuis la zone DNS de OVH, ET, depuis la zone DNS de contabo )
Cordialement,
**PING 1sh.fr**sh.fr** pointe vers l'adresse **IP de l'hébergement OVH : 51.91.236.255**
Erreur sur la machine local depuis le fichier /etc/hosts
J'avais renseigné l'adresse IP de l'hébergement mutualisé vers le domaine 1sh.frsh.fr
J'ai remplacé l'adresse IP du VPS pour pointer vers le domaine 1sh.frsh.fr
C'est corrigé et le ping du domaine 1sh.frsh.fr pointe vers l'adresse IPV4 du VPS.
1sh.frsh.fr n'affiche plus l'erreur de certificat (pour le moment?) mais la page n'est pas redirigée correctement : La page n’est pas redirigée correctement.
Toujours cette erreur depuis le hsts preload :
Status: 1sh.frsh.fr is currently preloaded, but no longer meets the requirements. It may be at risk of removal.
Error: No redirect from HTTP`http://1sh.fr` sh.fr` does not redirect to `https://1sh.fr`. sh.fr`.
Error: Insecure redirect`https://1sh.fr` sh.fr` redirects to an insecure page on redirect #2: `http://1sh.fr/` sh.fr/`
Bonjour,
Là tout vos problèmes sont dû à une mauvaise configuration côté serveur.
Côté DNS c'est tout "OK" si on considère la propagation DNS fini.
Cordialement, janus57
Je me suis retrouvé avec ce dossier renommé à un moment, je n'ai pas compris :
`1sh.fr-0001` sh.fr-0001`
J'ai réussi a révoquer le certificat coté serveur :
`certbot -vvv revoke --cert-path /etc/letsencrypt/live/1sh.fr/cert.pemsh.fr/cert.pem --key-path /etc/letsencrypt/live/1sh.fr/privkey.pem` sh.fr/privkey.pem`
J'ai généré un nouveau certificat pour 1sh.frsh.fr
`sudo certbot certonly --webroot --webroot-path /var/www/1sh.fr/sh.fr/ --email sh@1sh.fr` sh.fr`
_L'option avec www n'est pas passée : --domain www.1sh.fr_sh.fr_
J'ai relancé certbot certonly avec l'option 2 pour écraser le certificat existant :
`certbot certonly --manual --preferred-challenges=dns -d 1sh.fr` sh.fr`
Aucune demande de challenge DNS n'est demandé, peut être lors du renouvellement dans 3mois ?
Il me semblait que le challenge DNS était a effectuer lors de cette commande ...
`certbot certonly --manual --preferred-challenges=dns -d 1sh.fr` sh.fr`
Lors de la navigation, www.1sh.frsh.fr redirige bien vers 1sh.frsh.fr d'après la configuration HSTS du serveur. Cela semble ok.
La navigation vers le domaine étant fonctionnelle, le sujet est résolu et peut être cloturé.
Votre TTL est 86400, donc vous avez besoin de 24h pour une propagation complète de cette IPv6.
Merci d'avoir pris le temps de répondre.
J'ai une erreur de limite du nombre de requêtes pour la création de certificats.
Je dois attendre jusqu'à demain soir pour configurer certains sous domaines qui ne veulent pas afficher le contenu de leurs répertoires respectifs.
acme.messages.Error: urn:ietf:params:acme:error:rateLimited :: There were too many requests of a given type :: Error creating new order :: too many certificates (5) already issued for this exact set of domains in the last 168 hours: 1sh.fr,www.amis-sh.fr,sh.fr,www.amis-sh.fr, retry after 2024-07-13T21:21:17Z: see https://letsencrypt.org/docs/duplicate-certificate-limit/
J'ai créé les sous dossiers .well-known et acme-challenge avec les droits www-data.
Je crois devoir attendre la fin de la limite de blocage pour utiliser le challenge http-01 acme, le 2024-07-13 T 21:21:17 Z
ACME Let’s Encrypt : https://letsencrypt.org/fr/docs/challenge-types/
Bonjour,
Les DNS ont été propagés et le domaine et les sous domaines sont fonctionnels.
Merci.