#1 Le 19/06/2021, à 17:24
- Fab le Fou
Problèmes sporadiques d'accès SSL sites OVH
Bonjour,
Cela fait plusieurs semaines que je rencontre des problèmes ponctuels de connexion à des sites qui se trouvent être tous êtes hébergés chez OVH, mais cela est peut-être une coïncidence étant donné la prédominance de cet hébergeur.
Il se trouve qu'OVH est aussi mon FAI et que j’ai l’impression que c’est depuis une mise à jour distante de mon routeur (technicolor TG88vn) suite à un plantage de ma ligne ADSL que le problème s’est manifesté. Cette mise à jour a fait passer mon routeur d’une adresse IP V4 à V6. Peut-être une piste?
Je travaille le plus souvent sur un pc de bureau qui n’est pas équipé d’une carte wifi. Donc connexion 100% Ethernet. Il se trouve que depuis que ce problème survient, je l’ai réinstallé en partant de zéro pour le mettre à jour vers xubuntu 20.04. Le problème a continué. Il survient aussi bien avec firefox que chromium, sachant que je n’ai aucune extension installée sur ce dernier.
J’utilise de temps en temps un pc portable assez ancien sur lequel j’ai installé une version récente d’antiX Linux. J’y ai rencontré le même problème en Ethernet, mais jamais en wifi. Ceci dit je l’utilise peu et le problème peut ne pas survenir pendant quelques jours…
D’après l’extension Flagfox, les sites posant ponctuellement problèmes utilisent un CDN, contrairement à d’autres sites aussi chez OVH, mais avec lesquels je n’ai jamais de bug de connexion.
Voici ce que donne wget avec quelques sites posant parfois problème:
fabrice@fabrice-bureau:~$ wget https://agora.ecrivez-moi.com
--2021-06-19 17:40:53-- https://agora.ecrivez-moi.com/
Résolution de agora.ecrivez-moi.com (agora.ecrivez-moi.com)… 2001:41d0:1:1b00:213:186:33:19, 213.186.33.19
Connexion à agora.ecrivez-moi.com (agora.ecrivez-moi.com)|2001:41d0:1:1b00:213:186:33:19|:443… connecté.
Incapable d’établir une connexion SSL.
fabrice@fabrice-bureau:~$ wget https://agora.ecrivez-moi.com
--2021-06-19 17:41:09-- https://agora.ecrivez-moi.com/
Résolution de agora.ecrivez-moi.com (agora.ecrivez-moi.com)… 2001:41d0:1:1b00:213:186:33:19, 213.186.33.19
Connexion à agora.ecrivez-moi.com (agora.ecrivez-moi.com)|2001:41d0:1:1b00:213:186:33:19|:443… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : non indiqué [text/html]
Enregistre : «index.html.1»
index.html.1 [ <=> ] 12,55K --.-KB/s ds 0,04s
2021-06-19 17:41:09 (322 KB/s) - «index.html.1» enregistré [12847]
fabrice@fabrice-bureau:~$ wget https://www.optim-ism.fr
--2021-06-19 17:43:11-- https://www.optim-ism.fr/
Résolution de www.optim-ism.fr (www.optim-ism.fr)… 2001:41d0:1:1b00:213:186:33:3, 213.186.33.3
Connexion à www.optim-ism.fr (www.optim-ism.fr)|2001:41d0:1:1b00:213:186:33:3|:443… connecté.
Incapable d’établir une connexion SSL.
fabrice@fabrice-bureau:~$ wget https://www.optim-ism.fr
--2021-06-19 17:43:14-- https://www.optim-ism.fr/
Résolution de www.optim-ism.fr (www.optim-ism.fr)… 2001:41d0:1:1b00:213:186:33:3, 213.186.33.3
Connexion à www.optim-ism.fr (www.optim-ism.fr)|2001:41d0:1:1b00:213:186:33:3|:443… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : non indiqué [text/html]
Enregistre : «index.html.2»
index.html.2 [ <=> ] 112,41K --.-KB/s ds 0,1s
2021-06-19 17:43:16 (856 KB/s) - «index.html.2» enregistré [115103]On voit qu’en très peu de temps le résultat de connexion change.
J’ai du mal à comprendre d’où peut venir le problème qui est difficile à reproduire.
Une idée?
Merci d’avance.
Dernière modification par Fab le Fou (Le 19/06/2021, à 17:25)
Hors ligne
#2 Le 19/06/2021, à 17:48
- Vobul
Re : Problèmes sporadiques d'accès SSL sites OVH
T'as une ipv6 mais également une v4. Essaie ça :
curl -4 -I https://les-sites-qui-marchent-pas.frEt "-6" pour confirmer que ça ne fonctionne pas avec la v6 si la v4 fonctionne.
Regarde aussi ton DNS, essaie de changer de DNS vers 1.1.1.1 par exemple plutôt que le DNS de ton FAI.
Ajoute le flag "-v" à curl pour voir ce qui se passe vraiment, car l'erreur "Incapable d’établir une connexion SSL." indique un soucis au niveau TLS, pas au niveau du DNS (il trouve bien les IPv6v4).
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#3 Le 19/06/2021, à 18:22
- Fab le Fou
Re : Problèmes sporadiques d'accès SSL sites OVH
Ok merci pour ces premiers conseils.
Après plusieurs tentatives, il y a bien une différence de résultat, suivant selon si je suis en IP v4 ou v6 et c'est cette dernière qui pose soucis :
En V6 :
fabrice@fabrice-bureau:~$ curl -6 -I -v https://www.optim-ism.fr/
* Trying 2001:41d0:1:1b00:213:186:33:3:443...
* TCP_NODELAY set
* Connected to www.optim-ism.fr (2001:41d0:1:1b00:213:186:33:3) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to www.optim-ism.fr:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to www.optim-ism.fr:443 En V4, tout semble fonctionner :
url -4 -I -v https://www.optim-ism.fr/
* Trying 213.186.33.3:443...
* TCP_NODELAY set
* Connected to www.optim-ism.fr (213.186.33.3) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=optim-ism.fr
* start date: May 28 11:50:11 2021 GMT
* expire date: Aug 26 11:50:11 2021 GMT
* subjectAltName: host "www.optim-ism.fr" matched cert's "www.optim-ism.fr"
* issuer: C=US; O=Let's Encrypt; CN=R3
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x562e80221c80)
> HEAD / HTTP/2
> Host: www.optim-ism.fr
> user-agent: curl/7.68.0
> accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 200
HTTP/2 200
< date: Sat, 19 Jun 2021 16:58:14 GMT
date: Sat, 19 Jun 2021 16:58:14 GMT
< content-type: text/html; charset=UTF-8
content-type: text/html; charset=UTF-8
< server: Apache
server: Apache
< x-powered-by: PHP/7.3
x-powered-by: PHP/7.3
< link: <https://www.optim-ism.fr/wp-json/>; rel="https://api.w.org/", <https://www.optim-ism.fr/wp-json/wp/v2/pages/406>; rel="alternate"; type="application/json", <https://www.optim-ism.fr/>; rel=shortlink
link: <https://www.optim-ism.fr/wp-json/>; rel="https://api.w.org/", <https://www.optim-ism.fr/wp-json/wp/v2/pages/406>; rel="alternate"; type="application/json", <https://www.optim-ism.fr/>; rel=shortlink
< x-tec-api-version: v1
x-tec-api-version: v1
< x-tec-api-root: https://www.optim-ism.fr/wp-json/tribe/events/v1/
x-tec-api-root: https://www.optim-ism.fr/wp-json/tribe/events/v1/
< x-tec-api-origin: https://www.optim-ism.fr
x-tec-api-origin: https://www.optim-ism.fr
<
* Connection #0 to host www.optim-ism.fr left intact
fabrice@fabrice-bureau:~$ curl -6 -I -v https://www.optim-ism.fr/
* Trying 2001:41d0:1:1b00:213:186:33:3:443...
* TCP_NODELAY set
* Connected to www.optim-ism.fr (2001:41d0:1:1b00:213:186:33:3) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to www.optim-ism.fr:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to www.optim-ism.fr:443 Ceci dit, j'ai réussi à avoir un résultat ok en V6 sur plusieurs tentatives. Avec l'adresse V4, cela a fonctionné à chaque fois.
Je crois que j'avais déjà testé, mais je viens de nouveau de modifier mes serveurs DNS comme indiqué et de relancer ma connexion. Mais sans amélioration à première vue.
Dernière modification par Fab le Fou (Le 19/06/2021, à 18:24)
Hors ligne
#4 Le 20/06/2021, à 00:43
- Vobul
Re : Problèmes sporadiques d'accès SSL sites OVH
Alors tu peux essayer de comprendre d'où vient l'erreur (qui ne semble pas se produire chez moi FAI: free), mais vu que c'est intermittant c'est difficile de savoir ce qu'il se passe, peut-être que quelqu'un d'autre sur le forum a une idée, ça peut être ovh ou le serveur. Ça peut valoir le coup de contacter le webmaster du site en question, il a peut-être de son côté une erreur plus parlante.
L'autre option est d'ajouter une ligne à "/etc/hosts":
213.186.33.3 www.optim-ism.fret hop, problème reglé, on passe au suivant, la vie est trop courte pour s'emmerder avec ces conneries 
tant pis pour l'ipv6 !
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne