Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Même pas peur, les alertes des navigateurs

[supprimé]

Alors qu'il n'y a aucune alerte pour les sites non chiffrés, les navigateurs internets donnent des alertes (souvent mal traduite) pour les sites dons les détenteurs ne sont pas certifié (la majorité des sites sécurisés).
Ces alertes font peur au utilisateur faisant croire qu'il y a un risque de sécurité.
enfin bon, ça me gonfle.

alex2423

il faut que le navigateur préviennet de toute facon que l'accès n'a pas été certifié sinon cela n'aurait plus de valeur de payer super chère une certification.

[supprimé]

Prévenir est une chose, dire que tel site n'est pas sécurisé en est une autre.

ssdg

Mais il ne sont pas plus sécurisés qu'un site en simple HTTP tant qu'on a pas vérifié le certificat. (pour moi, ça veut dire pas sécurisé)

[supprimé]

Sauf que c'est la même alerte si un certificat est vérifié mais que ce n'est pas un certificat étendu.
C'est cette alerte que j'ai sur mon site perso (en signature) qui est certifié par Gandi CA (clé 2048 bits) et qui est chiffré en 256 bits.
On est pourtant loin du http

alex2423

Je vais sur ton site, je n'ai pas ton alerte et je vois bien qu'il est certifié par Gandi CA. J'utilise la dernière version de Firefox. Je ne pense pas avoir fait un réglage quelconques.

[supprimé]

Une amie a eu encore une alerte en téléchargeant avec Firefox une archive que je lui avait déposé (supprimé depuis).
j'arrive à reproduire ce type d'alerte avec midori et Opera.

Smon

ssdg a écritMais il ne sont pas plus sécurisés qu'un site en simple HTTP tant qu'on a pas vérifié le certificat. (pour moi, ça veut dire pas sécurisé)

Bien sûr que si, vu que les communications sont chiffrées.

Je n'ai pas besoin de faire certifier le certificat de mon site perso ... Par contre ça me gonfle de me taper les messages d'erreur des différents navigateurs.

[supprimé]

Ben surtout que la certification ne permet que de prouver que celui qui a déposer le nom de domaine est bien celui qui utilise le nom de domaine.
Rien à voir avec le chiffrement des données.

Elzen

Sauf changement récent, Midori et quelques autres ne bloquent pas ces sites, mais mettent éventuellement la barre d'adresse en rouge. Pour Firefox, il y a une extension qui permet de dégager cette page horripilante.

Niveau sécurité, il y a clairement trois paliers distincts : HTTP, où tout le monde peut lire tout ce qui se passe ; HTTPS sans certification, où seul le destinataire peut lire (quoiqu'un éventuel proxy indélicat puisse faire des bêtises quand même) sans qu'on ait d'assurance sur son identité ; et HTTPS avec certification, où seul le destinataire peut lire et où un tiers assure son identité (quoique l'éventuel proxy malicieux puisse jouer également ; et qu'il faille du coup faire confiance au tiers. La liste des autorités de certifications inclues de base dans les navigateurs pouvant parfois songeur, confer ceci).

Pour une meilleure sécurité, se référer à ceci.

Et sinon, au niveau du navigateur, le soucis est compréhensible (empêcher les gens de tomber sur des contrefaçons de sites de paiement en ligne, par exemple) ; mais la façon de faire me semble, d'une part, d'un effet limité (un site contrefait peut tout de même se débrouiller pour avoir un certificat valide), et d'autre part douteux en matière de logique (l'intelligence est censée être du côté de l'utilisateur, pas du côté du logiciel).

Histoire de faire un peu d'autopub', j'ai expliqué un peu davantage ces histoires de sécurisation dans cet article.

[supprimé]

Perso je vois quatre paliers :
http
https sans certification
https avec certification standard
et https avec certification étendu (celle qui coute la peau du cul).

Elzen

Ça dépend de ce qu'on désigne par « palier ». La logique de fonctionnement est la même dans tes deux derniers cas, c'est « seulement » le degré de fiabilité de la certification qui évolue.

[supprimé]

En tout cas, étant particulièrement attaché à la peau de mon cul, le certificat standard (à 12 € ht) me convient bien.

Elzen

Pour l'écrasante majorité des sites, le fonctionnement sans certification est amplement suffisant. Seuls ceux qui manipulent réellement des données sensibles (compte en banque, notamment) ont réellement besoin d'une certification (et généralement, les sites en question n'ont pas ce soucis de financement).

[supprimé]

Ben je l'ai prise avec le nom de domaine car c'était offert la première année.

alex2423

ignace72, je vois parfaitement bien dans ma barre d'adresse Firefox 31 que tu as un certificat certifié par Gandi.

Lorsque ta copine va sur ton site, peux t-elle le voire avec son firefox?
Il faut cliquer sur la pette map monde juste à coté de la flèche pour revenir en arrère.

Je n'ai pas installé l'addon Firefox de Elzen "skip cert error" mais peut être j'en installé qu a désactivé cette fonction d'alerte

[supprimé]

Je lui demanderai la prochaine fois que je l'aurai en ligne.

Elzen

A priori, la fonction n'est pas désactivable sous Firefox ; c'est justement la raison d'être de Skip Cert Error, qui du coup se débrouille en ajoutant une exception (temporaire ou permanente) à chaque fois que la page d'erreur s'affiche, avant de recharger. Ça a pu changer depuis, mais si tel est le cas, je n'suis pas encore au courant.

Par contre, la certification par Gandi est plutôt récente, je crois. C'est probablement que l'autorité de certification n'a été ajoutée dans Firefox que sur une des dernières mises à jour, et que les gens utilisant une version un peu plus ancienne ne l'ont pas encore. Je vérifierai tout à l'heure avec un Iceweasel un peu plus ancien.

pierrecastor

Je trouve quand même ça con que ça ne puisse pas se désactiver dans le about:config. Parce que installer des extensions pour pallier à chaque truc qui ne peut pas se gérer dans la config.

ssdg

ignace72 a écritPerso je vois quatre paliers :
http
https sans certification
https avec certification standard
et https avec certification étendu (celle qui coute la peau du cul).

En fait, j'aimerai ajouter une petite nuance:
la certification étendue peut être dépassée par le cas suivant:
Certificat (signé par une CA ou pas) vérifié à la main et ajouté consciament comme exception permanente. C'est ce que j'ai longtemps fait pour mon serveur perso (avant de me faire un certif de CA que j'ajoute manuellement dans mes navigos/clients divers)

Dans le cas du HTTPs sans certification si le certificat n'est pas vérifié minutieusement, la sécuritée apportée est limitée puisqu'il apporte à peu de choses près la même chose que http tout court. Les attaques Man In The Middle étant étonnement faciles à réaliser, même avec du matériel grand public. À la nuance, bien sur qu'il n'est pas possible d'espionner sans complicité d'un ISP une fois la box passée coté client ou le cable du serveur. (mais avec de bonnes chances de réussites avec un accès au réseau cablé ou Wifi en clair ou WEP [1] )

[1] J'aurais tendance à dire que comme tout passe systématiquement par la box avec WPA, un autre ordinateur du réseau ne pourra pas la battre en répondant à la requete DHCP de connection ou à une requête DNS

Page suivante »