Re...
Le 21/01/2021 à 00:29, sylvio
DESJARDINS a écrit :
Bonsoir
Vincent,
Si je comprends bien, c'est un échec d'accès au serveur qui fournit le
certificat SSL, or celui-ci est clairement hébergé quelque part sur le
net (hors de ton serveur).
C'est du Let's Encrypt géré par la machine host, le serveur étant
dans une LXC et couverte par le certificat en tant que sous-domaine.
Voici quelques pistes vite faites :
1. J'ai en effet détecté la source via Firefox et j'ai bien accès à ta
page BBB (avec plein de pages vides :-) ).
Emplacement : http://r3.o.lencr.org <http://r3.o.lencr.org>
Méthode : Online Certificate Status Protocol (OCSP)
Nom : Cloudflare “Nimbus2021”
Algo de signature : SHA-256 ECDSA
Côté SSL, vu du net, tout va bien, il est même noté A ici:
https://www.ssllabs.com/ssltest/analyze.html?d=visio.connect.cafe&hideResults=on
2. Si tu fais un ping r3.o.lencr.org, as-tu un résultat ?
Oui, j'ai un accès au net complet :
root@big-blue-button:~# ping r3.o.lencr.org
PING a1887.dscq.akamai.net (104.123.50.33) 56(84) bytes of data.
64 bytes from a104-123-50-33.deploy.static.akamaitechnologies.com (104.123.50.33): icmp_seq=1 ttl=54 time=4.92 ms
64 bytes from a104-123-50-33.deploy.static.akamaitechnologies.com (104.123.50.33): icmp_seq=2 ttl=54 time=6.20 ms
64 bytes from a104-123-50-33.deploy.static.akamaitechnologies.com (104.123.50.33): icmp_seq=3 ttl=54 time=6.40 ms
64 bytes from a104-123-50-33.deploy.static.akamaitechnologies.com (104.123.50.33): icmp_seq=4 ttl=54 time=6.32 ms
^C
--- a1887.dscq.akamai.net ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 4.921/5.962/6.405/0.612 ms
3. Peut-être une restriction au niveau des IP tables ?
Ben... dans la mesure où cela ne coince que pour l'adresse publique
du serveur à partir de lui-même, donc de son adresse privée... je
vois mal pourquoi ce serait une question d'IP tables? Peux-tu
développer?
4. SeLinux est-il activé ?
A priori, non, il y a bien un répertoire /etc/selinux, mais les
commandes 'sestatus' et 'getenforce' ne sont pas reconnues.
En même temps, ce n'est pas installé par défaut sur Ubuntu 16.04.
5. Le compte root peut avoir certaines restrictions pour éviter certains
risques d'intrusion au sein même du système. Ainsi root ne peut pas
faire certaines choses qu'un utilisateur peut faire.
As-tu essayé de créer un compte utilisateur classique pour re-tester ?
J'ai squatté avec un 'su -l' un utilisateur présent, et le résultat
est le même.
J'en profite pour corriger ce que j'ai écrit sur 'curl' : le port 80
(HTTP) est bien accessible de la machine, même en wget.
Vincent.