Secure Connection Failed sur Firefox

MarcL13 · August 20, 2022, 6:40am

Erreur Secure Connection Failed uniquement sur Firefox

Bonjour à tous,

Mon nom de domaine est : dday-overlord.com

Et j'utilise Performancef2014x1

Je rencontre la problématique suivante :

Aprèsa voir testé la mise à jour de php 7.4 à php 8.1, et mis à jour le certificat SSL, mon site n'est plus accessible sur certains navigateurs comme Firefox.

A la place s'affiche soit une feuille blanche, soit le message d'erreur suivant

En revanche, cela semble fonctionne sur Chrome.

J'ai suivi ce tuto : https://docs.ovh.com/fr/hosting/erreur-site-non-securise/ et l’adresse IP du serveur auquel est bien reliée à mon nom de domaine.
Le SSL Certificate semble actif :

Une idée sur la procédure à réaliser ? Merci d'avance.

Gaston_Phone · August 20, 2022, 6:48am

https://www.1overlord.comoverlord.com

C'est bon avec mon FIREFOX.

MarcL13 · August 20, 2022, 6:50am

Etonnant parce je viens d'essayer avec Edge, cela me donne une page blanche également.

En regardant le suivi de mes statistiques Analytics, je constate une chute de 75% du nombre habituel de visiteurs.

Toujours OK avec Chrome.

fritz2cat · August 20, 2022, 7:19am

<blockquote><br />Etonnant parce je viens d&#39;essayer avec Edge<br /></blockquote><br /><br />wget n&#39;aime pas non plus:<br /><br />    ---request begin---<br />    GET / HTTP/1.1<br />    User-Agent: Wget/1.20.1 (linux-gnu)<br />    Accept: */*<br />    Accept-Encoding: identity<br />    Host: www.dday-overlord.com<br />    Connection: Keep-Alive<br /><br />    ---request end---<br />    HTTP request sent, awaiting response...<br />    ---response begin---<br />    HTTP/1.1 200 OK<br />    Date: Sat, 20 Aug 2022 07:14:26 GMT<br />    Content-Type: text/html; charset&#61;UTF-8<br />    Vary: Accept-Encoding,Cookie<br />    Cache-Control: max-age&#61;3, must-revalidate, max-age&#61;0<br />    Last-Modified: Sat, 20 Aug 2022 06:55:35 GMT<br />    Expires: Sat, 20 Aug 2022 07:14:26 GMT<br />    Strict-Transport-Security: max-age&#61;16006000; includeSubDomains; preload<br />    X-Request-ID: 244809743<br />    X-CDN-Pop: rbx1<br />    X-CDN-Pop-IP: 51.254.41.128/25<br />    X-Cacheable: Cacheable<br />    Accept-Ranges: bytes<br />    Connection: keep-alive<br />    Transfer-Encoding: chunked<br /><br />    ---response end---<br />    200 OK<br />    Registered socket 3 for persistent reuse.<br />    Parsed Strict-Transport-Security max-age &#61; 16006000, includeSubDomains &#61; true<br />    Updated HSTS host: www.dday-<a target="_blank">overlord.com:443</a> (max-age: 16006000, includeSubdomains: true)<br />    URI content encoding &#61; ‘UTF-8’<br />    Length: unspecified [text/html]<br />    Saving to: ‘index.html’<br /><br />    index.html              [ &lt;&#61;&gt;                ]       0  --.-KB/s    in 0s<br /><br />    Disabling further reuse of socket 3.<br />    2022-08-20 07:14:26 (0.00 B/s) - Read error at byte 0 (The request is invalid.).Retrying.<br /><br />    --2022-08-20 07:14:33--  (try: 8)  https://www.dday-overlord.com/<br />    Found www.dday-overlord.com in host_name_addresses_map (0x56414dbd8c10)<br />    Connecting to www.dday-overlord.com (www.dday-overlord.com)|213.186.33.69|:443... connected.<br />    Created socket 3.<br />    Releasing 0x000056414dbd8c10 (new refcount 1).<br /><br />A mon avis c&#39;est un problème du serveur CDN.<br /><br /><br />Essayez en remplaçant 213.186.33.69 par 213.186.33.2 (cluster002.hosting.ovh.net) dans votre zone DNS.<br /><br />Le TTL de votre enregistrement DNS est de 86400, donc 24 heures pour la propagation.

MarcL13 · August 20, 2022, 7:35am

213.186.33.2

je viens de faire le remplacement mais j'ai un petit doute étant donné que je ne peux pas activer le SSL du cluster002.

fritz2cat · August 20, 2022, 7:37am

je ne peux pas activer le SSL du cluster002.

C'est normal. Cette adresse de service identifie votre hébergement, mais n'a aucune utilité pour le public.

MarcL13 · August 20, 2022, 7:38am

Merci pour ces infos. Si j'ai bien compris il ne me reste plus qu'à attendre la fin de la propagation donc 24h?

fritz2cat · August 20, 2022, 7:41am

<blockquote><br />je viens de faire le remplacement<br /></blockquote><br /><br />Je pense que c&#39;est réglé.<br /><br />    ---request begin---<br />    GET / HTTP/1.1<br />    User-Agent: Wget/1.20.1 (linux-gnu)<br />    Accept: */*<br />    Accept-Encoding: identity<br />    Host: www.dday-overlord.com<br />    Connection: Keep-Alive<br /><br />    ---request end---<br />    HTTP request sent, awaiting response...<br />    ---response begin---<br />    HTTP/1.1 200 OK<br />    Date: Sat, 20 Aug 2022 07:39:50 GMT<br />    Content-Type: text/html; charset&#61;UTF-8<br />    Content-Length: 88965<br />    Connection: keep-alive<br />    Server: Apache<br />    X-Powered-By: PHP/7.4<br />    Vary: Accept-Encoding,Cookie<br />    Cache-Control: max-age&#61;3, must-revalidate<br />    Last-Modified: Sat, 20 Aug 2022 07:27:16 GMT<br />    Cache-Control: max-age&#61;0<br />    Expires: Sat, 20 Aug 2022 07:39:50 GMT<br />    Strict-Transport-Security: max-age&#61;16006000; includeSubDomains; preload<br /><br />    ---response end---<br />    200 OK<br />    Disabling further reuse of socket 3.<br />    Closed fd 3<br />    Registered socket 4 for persistent reuse.<br />    Parsed Strict-Transport-Security max-age &#61; 16006000, includeSubDomains &#61; true<br />    Updated HSTS host: www.dday-<a target="_blank">overlord.com:443</a> (max-age: 16006000, includeSubdomains: true)<br />    URI content encoding &#61; ‘UTF-8’<br />    Length: 88965 (87K) [text/html]<br />    Saving to: ‘index.html.1’<br /><br />    index.html.1        100%[&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&#61;&gt;]  86.88K  --.-KB/s    in 0.01s<br /><br />    2022-08-20 07:39:50 (5.96 MB/s) - ‘index.html.1’ saved [88965/88965]<br /><br />et<br /><br />      <title>D-Day Overlord – Encyclopédie du débarquement et de la bataille de Normandie</title><br />    <meta name="robots" content="max-image-preview:large" /><br />    <link rel="alternate" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com&#34; /&gt;<br />    <link rel="alternate" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com/en/&#34; /&gt;<br />    <link rel="alternate" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com/es/&#34; /&gt;<br />    <link rel="alternate" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com&#34; /&gt;<br />    <br />    <br />    ...

MarcL13 · August 20, 2022, 7:46am

J'ai désormais ce message d'erreur sur Firefox

Gaston_Phone · August 20, 2022, 7:49am

1overlord.comoverlord.com

Ok chez moi sur FIREFOX

fritz2cat · August 20, 2022, 8:08am

J'ai désormais ce message d'erreur sur Firefox

ça vient toujours du CDN semble-t-il
Votre cache DNS contient toujours l'ancienne adresse IP

janus57_1 · August 20, 2022, 8:08am

Bonjour,

de mon côté vous n'avez pas changé les enregistrement DNS ou du moins c'est pas visible sur les DNS OVH).
 # dig <a href="dday-overlord.com" target="_blank" rel="nofollow noopener">1overlord.comoverlord.com</a> @<a href="dns12.ovh.net" target="_blank" rel="nofollow noopener">dns12.ovh.net</a> ; <<>> DiG 9.16.27-Debian <<>> <a href="dday-overlord.com" target="_blank" rel="nofollow noopener">1overlord.comoverlord.com</a> @<a href="dns12.ovh.net" target="_blank" rel="nofollow noopener">dns12.ovh.net</a> ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53296 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;<a href="dday-overlord.com." target="_blank" rel="nofollow noopener">1overlord.com.overlord.com.</a> IN A ;; ANSWER SECTION: <a href="dday-overlord.com." target="_blank" rel="nofollow noopener">1overlord.com.overlord.com.</a> 86400 IN A 213.186.33.69 ;; Query time: 0 msec ;; SERVER: 2001:41d0:1:4a83::1#53(2001:41d0:1:4a83::1) ;; WHEN: Sat Aug 20 10:07:33 CEST 2022 ;; MSG SIZE rcvd: 62 

Vous devez absolument remplacer l'ensemble des entrée "213.186.33.69" par "213.186.33.2" pour désactiver le CDN.

Cordialement, janus57

MarcL13 · August 20, 2022, 8:10am

213.186.33.2

Oui, c'est bien le cas.

En revanche, est-ce un problème si l'IPv4 indique toujours l'ancienne adresse ?

janus57_1 · August 20, 2022, 8:15am

Bonjour,

et sur "1overlord.comoverlord.com" ?
Vous l'avez oublier sans les www visiblement.

Cordialement, janus57

MarcL13 · August 20, 2022, 8:17am

Bien vu, je viens de faire le changement. Merci !

Est-il nécessaire/utile de le modifier également pour admin.1overlord.com.overlord.com. ?

janus57_1 · August 20, 2022, 8:20am

Bonjour,

je vais me citer :

Vous devez absolument remplacer l'ensemble des entrée "213.186.33.69" par "213.186.33.2" pour désactiver le CDN.

Cordialement, janus57

fritz2cat · August 20, 2022, 8:20am

<blockquote><br />Oui, c&#39;est bien le cas.<br /></blockquote><br /><br />En outre vous avez activé HSTS (strict-transport). Ceci a une conséquence: en cas de futur souci https, vous n&#39;avez plus la possibilité de revenir en http, et les navigateurs ne peuvent plus suggérer d&#39;ignorer l&#39;erreur.<br /><br />&#64;janus57 : tu comprends les messages d&#39;erreur là-dedans ? <br /><br />    &gt;curl -vv https://www.dday-overlord.com<br />    *   Trying 213.186.33.2:443...<br />    * Connected to www.dday-overlord.com (213.186.33.2) port 443 (#0)<br />    * schannel: disabled automatic use of client certificate<br />    * ALPN: offers http/1.1<br />    * ALPN: server did not agree on a protocol. Uses default.<br />    &gt; GET / HTTP/1.1<br />    &gt; Host: www.dday-overlord.com<br />    &gt; User-Agent: curl/7.83.1<br />    &gt; Accept: */*<br />    &gt;<br />    * schannel: failed to decrypt data, need more data<br />    * Mark bundle as not supporting multiuse<br />    &lt; HTTP/1.1 200 OK<br />    &lt; Date: Sat, 20 Aug 2022 08:13:58 GMT<br />    &lt; Content-Type: text/html; charset&#61;UTF-8<br />    &lt; Content-Length: 88922<br />    &lt; Connection: keep-alive<br />    &lt; Server: Apache<br />    &lt; X-Powered-By: PHP/7.4<br />    &lt; Vary: Accept-Encoding,Cookie<br />    &lt; Cache-Control: max-age&#61;3, must-revalidate<br />    &lt; Last-Modified: Sat, 20 Aug 2022 07:58:33 GMT<br />    &lt; Cache-Control: max-age&#61;0<br />    &lt; Expires: Sat, 20 Aug 2022 08:13:58 GMT<br />    &lt; Strict-Transport-Security: max-age&#61;16006000; includeSubDomains; preload<br />    &lt;<br />    <br />    <html class="no-js" lang="fr-FR"></html><br />    <head></head><br />      <meta charset="UTF-8" /><br />      <meta name="viewport" content="width&#61;device-width, initial-scale&#61;1.0" /><br />      <link rel="profile" href="&lt;a href&#61;" rel="nofollow noopener" />https://gmpg.org/xfn/11&#34; /&gt;<br />      <link rel="pingback" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com/xmlrpc.php<br /><br />      <title>D-Day Overlord – Encyclopédie du débarquement et de la bataille de Normandie</title><br />    <meta name="robots" content="max-image-preview:large" /><br />    <link rel="alternate" href="https://www.dday-&lt;a href&#61;" rel="nofollow noopener" />overlord.com&#34; /&gt;

MarcL13 · August 20, 2022, 8:24am

En outre vous avez activé HSTS (strict-transport)

Je ne me souviens pas avoir réalisé cette manip. Où puis-je le désactiver?

fritz2cat · August 20, 2022, 8:25am

Je ne me souviens pas avoir réalisé cette manip. Où puis-je le désactiver?

add-header dans votre .htaccess ?

MarcL13 · August 20, 2022, 8:28am

Voilà ce que j'ai sur le .htaccess :

#permet aux navigateurs de se souvenir qu'il doit passer en https pour votre site (HSTS)
Header set Strict-Transport-Security "max-age=16006000; includeSubDomains; preload"