Bonjour à toutes et à tous,
Je ne sais pas si ce message a sa place ici, au cas où je suis preneur d'un endroit plus approprié.
J'ai besoin de faire une investigation sur un faux certificat TLS, j'ai un serveur ownCloud qui a un certificat CAcert pour mon nom de domaine files.siegenthaler.mx et aujourd'hui j'ai reçu une alerte pour un faux certificat émanant de Swisscom (fournisseur d'accès national en Suisse).
Aujourd'hui à deux reprises j'ai reçu ce faux certificat d'une validité de 30 ans, une fois sur l'application ownCloud (fichiers) et une fois sur Thunderbird (contacts), je souhaite savoir si c'est réellement une attaque MiTM de la part de mon fournisseur d'accès ou si c'est un faux-positif, par exemple le routeur qui fait une redirection HTTP 3XX quand il se broute et qu'il présente son propre certificat ?
Le screenshot : https://files.siegenthaler.mx/public.php?service=files&t=dedf776f96b5165...
NB : l'accès est aussi disponible en clair mais les personnes utilisant le service sont clairement informées qu'elles doivent y accéder par HTTPS, cela va être modifié prochainement, tant pis pour les applications ne supportant pas SNI.
Merci de vos conseils avisés.