• Serveurs

  • Résolu - Erreur TLS seulement sur Firefox

Bonjour à tous

J'ai installé mon serveur avec Debian 10 et en LEMP (Linux, Nginx, MySQL, PHP)
J'ai suivi les tutos qu'on trouve ici et ceux de DigitalOcean que je trouve très bien fait :
exemples :
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-10
https://www.digitalocean.com/community/tutorials/how-to-install-wordpress-with-lemp-nginx-mariadb-and-php-on-debian-10

Je rencontre sur certains de mes sous-domaines l'erreur suivante :

Une erreur est survenue pendant une connexion à XXX.mondomaine.org. Une fonctionnalité TLS nécessaire est manquante.
Code d’erreur : MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Je ne rencontre cette erreur qu'avec Firefox. Sur Chrome le domaine en question n'a aucune erreur.
Ca m'ennuie car j'utilise quasi exclusivement Firefox...

De plus j'ai un site de conseil, qui est donc consulté par des gens sur tous les browsers.

J'ai tenté sans succès une recherche sur cette erreur.
Je n'ai rien trouvé qui m'aide réellement.

Les deux sous domaines qui bloquent :

  • l'un a un Dolibarr installé dessus
  • l'autre un Wordpress.
    Un autre de mes domaines avec Wordpress n'a pas cette erreur.

Voici le sites-enabled d'un domaine qui bloque (j'ai anonymisé le domaine)

server {
       server_name sousdomaine.domaine.fr domaine.fr;

       root /var/www/dossier;
       index index.php index.html;
       client_max_body_size 20M;
       location / {
               try_files $uri $uri/ =404;
       }

       location ~ \.php$ {
           include snippets/fastcgi-php.conf;
           fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
       }

      access_log /var/log/nginx/domaine-access.log;
      error_log /var/log/nginx/domaine-error.log;


    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/domaine.fr-0002/fullchain.pem; $
    ssl_certificate_key /etc/letsencrypt/live/domaine.fr-0002/privkey.pem$
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot





    add_header Strict-Transport-Security "max-age=31536000" always; # managed b$

}
server {
    if ($host = sousdomaine.domaine.fr) {
        return 301 https://$host$request_uri;
    } # managed by Certbot
    if ($host = domaine.fr) {
        return 301 https://sousdomaine.domaine.fr;
    } # managed by Certbot
    server_name sousdomaine.domaine.fr domaine.fr;
    return 404; # managed by Certbot
}

Si l'un d'entre vous peut m'aider, n'hésitez pas à me demander toute info complémentaire sur ma config.

Merci de votre aide...

  • Re

    Le problème est résolu.

    Il fallait ajouter " ssl_stapling on; " dans le server block.

    Merci à celui qui m'a patiemment aidé et m'a donné la réponse 🙂

sousdomaine redirige vers domaine ? ou sousdomaine rediriger vers sousdomaine ?

En premier lieu je referais bien ton vhost proprement, pour le rendre plus lisible.

  • Zup a répondu à ça.

    MattProd
    Dans celui-ci,
    sousdomaine.domaine1.fr renvoie en effet vers domaine1.fr

    dans l'autre exemple où ça plante,
    sousdomaine.domaine2.fr renvoie vers rien, reste sur sousdomaine.domaine2.fr

    Que dois je changer dans ce vhost stp ?

        Zup

        server {
        listen 80;
        #listen [::]:80;
        server_name sousdomaine.domaine1.fr domaine1.fr;
        return 301 https://domaine1.fr$request_uri;
}

server {
        listen 443 ssl http2;
        #listen [::]:443 ssl http2;
        server_name domaine1.fr;

   root /var/www/dossier;
    client_max_body_size 20M;
    index index.html index.php;
    charset utf-8;

    access_log /var/log/nginx/domaine-access.log;
    error_log /var/log/nginx/domaine-error.log;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_certificate         /etc/letsencrypt/live/domaine1.fr/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domaine1.fr/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domaine1.fr/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_tickets off;
    ssl_protocols TLSv1.3 TLSv1.2;
    ssl_ciphers 'TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384';
    ssl_ecdh_curve X448:secp521r1:secp384r1:prime256v1;
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    resolver 127.0.0.1 1.1.1.1 valid=300s;
    resolver_timeout 10s;
    ssl_session_cache shared:SSL:10m;
# Add headers to serve security related headers
# Before enabling Strict-Transport-Security headers please read into this
# topic first.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;";
#
# WARNING: Only add the preload option once you read about
# the consequences in https://hstspreload.org/. This option
# will add the domain to a hardcoded list that is shipped
# in all major browsers and getting removed from this list
# could take several months.
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "none" always;
add_header X-XSS-Protection "1; mode=block" always;
# Remove X-Powered-By, which is an information leak
fastcgi_hide_header X-Powered-By;

location ~ \.php$ {
           include snippets/fastcgi-php.conf;
           fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
       }

location / {
               try_files $uri $uri/ =404;
       }
}

        Je partirai sur un truc comme ca.

          24 jours plus tard

          Bonjour

          Désolé pour la réponse très tardive...

          J'ai tenté sans succès.

          Tant pis pour le moment, je n'ai plus le temps de m'occuper de cela. Je reprendrai quand j'aurai à nouveau du temps disponible...

          Merci d'avoir tenté de m'aider 🙂

          Re

          Le problème est résolu.

          Il fallait ajouter " ssl_stapling on; " dans le server block.

          Merci à celui qui m'a patiemment aidé et m'a donné la réponse 🙂

          Zup a renommé le titre en Résolu - Erreur TLS seulement sur Firefox.
          Répondre…