Problème d'accès aux sites hébergés derrière un proxy : HTTP Non RFC-Compliant Response Found

Bonjour,
Je suis confronté à un problème qui dépasse largement mes compétences, alors je vous le soumets !!
Je possède un serveur sur lequel j’ai installé Yunohost 11.2.10.3, ainsi que quelques services (mail, peertube, spip). Tout fonctionne correctement, on peut accéder aux services depuis n’importe quelle machine. si vous voulez tester : https://science.geekgalaxy.fr https://peertube.geekgalaxy.fr

Je travaille comme professeur dans un collège, et sur le site spip j’ai installé les leçons et des ressources que j’utilise avec mes élèves. Là encore, tout fonctionnait parfaitement jusqu’en janvier 2024.

Suite à la mise en place d’un nouveau proxy (solution Palo Alto si j’ai bien compris), tous les sites sont devenus inaccessibles depuis les ordinateurs du collège ! Pas pratique pour faire travailler les élèves. Ils ont accès aux ressources depuis chez eux, mais j’ai besoin de l’accès depuis le collège aussi. Après de nombreux échanges avec les services informatiques, je pense avoir compris les points suivants :

• Les sites sont vus comme des sites de phising
• Le serveur est vu comme vulnérable par le système Palo Alto avec nottament l’erreur HTTP Non RFC-Compliant Response Found

La solution serait, si j’ai compris, de ne plus chiffrer/déchiffrer les flux en provenance de mon serveur (ce système a été mis en place pour prévenir les logiciels malveillants m’a t on dit), mais cela pose problème si mon serveur est compromis… Autant dire que je ne pourrai jamais plus accéder à mes ressources car cela me surprendrait qu’un RSSI autorise cela.

Ce que je ne comprends pas, c’est que je peux accéder depuis le collège à d’autres sites utilisant Yunohost (sans-nuage.fr, https://www.tera.coop/) et cela ne pose pas de problème.

Ma question : est ce que je peux résoudre le problème de vulnérabilité de mon serveur, et ne plus avoir l’erreur HTTP Non RFC-Compliant Response Found ??

J’ai bien conscience que ce problème est marginal, mais si quelqu’un a une proposition à me faire, je luis en serai reconnaissant.

Bonne journée,

Christophe.

Carte UNO inverse (d’autant plus que ça marchait avant): Palo Alto doit expliquer en quoi la réponse du serveur ne respecte pas la RFC, et qu’est-ce qui fait que les sites soient marqués comme des sites de phishing (cf. Google flags my sites as dangerous (Deceptive site ahead)).

Selon ce lien

Non-compliant servers and web applications can serve malformed but non-malicious responses, and to accommodate this, vulnerability profiles can be fine-tuned using exceptions. This would not have been possible if the decoder was enforcing standards compliance system wide. As with security as a whole, this comes down to network administrators balancing the risk of malicious content being allowed against legitimate content being denied, and security vendors providing signatures to protect against evasion techniques developed in the wild.

PAN threat research teams are constantly watching for these and other threats, and we value any information with context coming from our valued customers to help address missed evasions.

Donc il vaut mieux les contacter surtout qu’ils admettent qu’il y a des faux positifs et qu’ils seront heureux de recevoir des informations avec le contexte.

Bonjour,
Merci pour vos retours. Vu la difficulté pour avoir les quelques informations en ma possession, je ne suis pas sûr de pouvoir demander plus de détails… En fait si, je peux demander mais je n’aurai sans doute pas de réponse…
Je vois ce que je peux obtenir.
Bonne journée,

Vous pouvez poser la question sur le forum de palo alto