Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Même pas peur, les alertes des navigateurs

Elzen

@pierrecastor : je suis tout à fait d'accord.

@ssdg : c'est pour ça que je parlais de trois « paliers », c'est-à-dire de différences logiques et structurelles générales, chacune pouvant avoir plusieurs degrés de fiabilités. Le véritable niveau de sécurité dépend des choix structurels, mais également de la façon dont on met en place ces choix.

Cependant, non, je ne pense pas que du HTTPS sans certification soit plus ou moins équivalent à du HTTP. Dans le premier cas, il est nécessaire de mettre en place une réelle tentative d'usurpation d'identité pour parvenir à ses fins, tandis que dans le second, il « suffit » d'être sur le passage de l'information.
Pour risquer une comparaison pas forcément géniale, le HTTP, c'est laisser son vélo simplement posé contre un mur (n'importe quel passant peut repartir avec), le HTTPS sans certification, c'est laisser son vélo attaché avec un bon antivol (un éventuel voleur doit se munir d'outils spécialisés, se trimballer avec une pince dans la poche ne suffit pas), et le HTTPS avec certification, c'est laisser son vélo sous la surveillance d'un vigile (en espérant que le vigile ne décide pas de partir lui-même avec le vélo).

[supprimé]

Si vous avez des liens parlant du cryptage https, je suis preneur.
Enfin la partie ssl.
Je suis tombé sur celui-ci http://www.sebsauvage.net/comprendre/ssl/
Vous semble t-il bon ?

Bob49

Salut

@ ignace72, il y à aucun message d'alerte sur ton site !

Pour les messages de sécurité (certificat auto-signé, émetteur inconnu, émetteur non-fiable), il y à bien une possibilité de passer outre cet avertissement ! Ce qui n'affichera plus le message.

L'extension Skip Cert Error est utile pour faire des exceptions temporaires (apparemment, je l'ai pas testé), là ou Firefox ferait l’exception définitive ou presque, puisqu'il suffit de supprimer les préférences de sites pour supprimer les exceptions (ce qui est plutôt à éviter...).

D'ailleurs malgré que je surfes intensivement, je croises vraiment rarement ce genre de messages ! 🙂 et si je connais pas le site, je fais l'impasse et vais voir ailleurs, ce n'est pas les sites qui manquent sur le web... :cool:

[supprimé]

Peut-être que firefox 32 à résolu le soucis en ayant une bd plus à jour.
Si je comprends bien Bob49 :
tu navigues sur les sites certifié connu de ton navigateur et sur les site non sécurisé mais jamais sur ceux autosigné.

Bob49

ignace72 a écritPeut-être que firefox 32 à résolu le soucis en ayant une bd plus à jour.
Si je comprends bien Bob49 :
tu navigues sur les sites certifié connu de ton navigateur et sur les site non sécurisé mais jamais sur ceux autosigné.

Bah je surfes sur tous les sites qui m'intéresse et si message d'alerte, je passe... pourquoi je m'arrêterais sur un site que je connais pas et dont j'ai un message d'alerte ?!
Mais comme j'ai dis dans mon précédent message, je rencontre ce genre de message parfois, mais très peu.
Et comme je l'ai dis précédemment, au cas où l'on veut absolument surfer sur un site... il suffit d'accepter le site en exception pour être tranquille.

En ce moment, je suis avec la Nightly (Fx 35)... mais la mise à jour du système de vérification des certificats dans Firefox ne dépend pas seulement de lui-même.

Même sur le forum de Firefox, dont je suis un bénévole des plus anciens maintenant, on nous parle très peu des messages du aux auto-signé (la dernière fois remonte apparemment à 2011), mais plutôt d'autres erreurs de certificats...

Il va y avoir un renforcement à partir de Firefox 33 : http://www.lemondeinformatique.fr/actualites/lire-firefox-renforce-sa-protection-contre-les-faux-certificats-ssl-58514.html

[supprimé]

Donc les sites frauduleux en http non sécurisé, tu vas dessus car il n'y a pas d'alerte chez eux.
C'est pas un peu limite comme raisonnement ?
Que ça soit sécurisé, tu t'en moques du moment que firefox te met pas d'alerte.
heu…

Bob49

ignace72 a écritDonc les sites frauduleux en http non sécurisé, tu vas dessus car il n'y a pas d'alerte chez eux.
C'est pas un peu limite comme raisonnement ?
Que ça soit sécurisé, tu t'en moques du moment que firefox te met pas d'alerte.
heu…

S'ils sont signalés frauduleux, pourquoi voudrais-tu que j'y mettes les pieds, et en plus si je les connais pas ? ! (relis mes messages précédents) Pourquoi Firefox mettrait une alerte à un site, ce n'est pas son travail !

D'ailleurs, il y à bien souvent des erreurs pour des sites soit-disant frauduleux, dû aux robots de Google !... et où les responsables de sites doivent faire ce qu'il faut pour rétablir la vérité !

Et puis comment sais-tu que le site est frauduleux, si ton navigateur (ou une extension) ne te le dit pas ? :rolleyes:

Par contre, cela n'empêche pas de mettre un site en exception, si la personne le connait suffisamment bien et donc pense que c'est un site respectable.

Mais ne t'en fait pas pour ma sécurité, je suis suffisamment protégé pour éviter des problèmes à cause de sites malveillants, même sans messages d'alerte. 🙂

[supprimé]

Bob49 a écritEt puis comment sais-tu que le site est frauduleux, si ton navigateur (ou une extension) ne te le dit pas ?

Rien puisque les navigateurs ou extensions ne le font pas.
Firefox a montré du doigt mon site pendant un mois.
J'ai donc fait un article précisant que Firefox racontait des conneries sur mon site.
Les navigateurs ne font que de la présomption de culpabilité.

Bob49

ignace72 a écrit J'ai donc fait un article précisant que Firefox racontait des conneries sur mon site.
Les navigateurs ne font que de la présomption de culpabilité.

J'ai pas vu cet article ! :/
Mais c'est faux ce que tu dis là, relis mon message précédent ! Firefox et les autres navigateurs n'y sont pour rien. Donc attention à ne pas raconter n'importe quoi ! :rolleyes:

Et sans oublier que certains sites frauduleux n'ont trouvé par les services de Google, sont déclarés frauduleux (pour généralement de bonnes raisons) par des utilisateurs du web, mais contrôlés par des services compétents.

[supprimé]

L'article est ici : https://ignace72.eu/contact.html#securite
Ce n'est pas faux ce que je dis.
Le message est « Ce site n'est pas sécurisé » ce qui est un mensonge.

[supprimé]

Non, ce n'est pas un mensonge. En fait, ton navigateur (firefox/iceweasel) compare le certificat que tu proposes avec sa base de donnée nommée ca-certificat de Mozilla. Bien que ton certificat soit signée par Gandi, s'il n'est pas dans la base de Firefox... Au fond, je trouve ça rassurant! Voir là

Et puis, il y a une différence entre « Ce site n'est pas sécurisé » et ce site est frauduleux (les messages sont différents) 😉

Avec l'affaire heartbleed, j'ai eu plein d'alerte dans ce genre à un moment, normal, tout le monde avait changé son certificat... Il a fallut un peu de temps pour que Mozilla remette à jour la liste pour son navigateur.

Enfin, je comprends l'affaire comme ça mais il est possible que je sois à coté de la plaque 😃

Bonne soirée.

ÉDIT:
D'ailleurs, en cliquant sur détails techniques, tu peux réellement savoir se qui coince (avec ton certificat, c'est parfois juste un nom de certification manquant ou non reconnu 🙂 )
Les messages d'erreur Firefox/Iceweasel

ÉDIT 2:
Au fait aucune erreur avec iceweasel 24.4.0 (Debian stable... Donc ancien). À priori si des visiteurs ont des soucis, qu'ils mettent à jour leur machine (mise à jour de sécurité)

ssdg

Tu préfèrerais que le message soit: "la communication avec ce site n'est pas sécurisée" ? (encore, ça, je peux le comprendre)

[supprimé]

ignace72 a écritSi vous avez des liens parlant du cryptage https, je suis preneur.
Enfin la partie ssl.
Je suis tombé sur celui-ci http://www.sebsauvage.net/comprendre/ssl/
Vous semble t-il bon ?

Bon, je ne sais pas. En revanche, SSL est un protocole se plaçant entre la couche application et la couche réseau.
D'ailleurs, selon les navigateurs employés (Firefox/Opéra/Midori/Internet explorer rooooo 😃), certains sont moins bon que d'autre face au différentes version SSL (version 1,2,3 mais aussi pour le tls).
http://www.tbs-certificats.com/navigateurs2048.html.fr

[supprimé]

Ben le navigateur estime qu'avec les certifiants qu'il ne connait pas, les connexions ne sont pas sécurisé.
Je trouve que c'est aller vite en besogne.
Je suis tombé (boum) la dessus : http://www.cert.ssi.gouv.fr/site/CERTA-2005-REC-001/
et sur la phrase : Il est donc primordial d'utiliser les protocoles SSL/TLS en prenant certaines précautions, et ne pas leur prêter une trop grande garantie de sécurité sur l'ensemble de la chaîne d'information.

On y trouve des truc pas glop :
Multiples vulnérabilités dans le noyau Linux d'Ubuntu
du 04 septembre 2014
http://cert.ssi.gouv.fr/site/CERTFR-2014-AVI-373/index.html

ssdg

Si ni toi ni le navigateur ne connaissez le certificat (tu l'a vérifié à la main, en particulier les signatures?) alors il est possible que ce soit un faux... et quelqu'un qui se sert d'un faux pour s'identifier n'est probablement pas vraiment fiable si? Ne t'en fais pas, si tu coche la case "conserver de façon permanente" alors le navigateur "apprend" le certificat. Il faut juste que quelqu'un signale le certificat comme fiable. Mozilla/ubuntu ou toi. Sinon, il parait logique que le certificat ne peut pas être présenté comme vérifié.

Pour le CERT, si tu te met à suivre le flux RSS, tu t’aperçois qu'ils ne citent que les vulnérabilités corrigées dans la dernière version. Et oui, tout programme plus compliqué qu'un hello world à des failles.

[supprimé]

ignace72 a écritBen le navigateur estime qu'avec les certifiants qu'il ne connait pas, les connexions ne sont pas sécurisé.
Je trouve que c'est aller vite en besogne.

Et non, c'est le principe même de la sécurisation...

ignace72 a écrit Je suis tombé (boum) la dessus : http://www.cert.ssi.gouv.fr/site/CERTA-2005-REC-001/
et sur la phrase : Il est donc primordial d'utiliser les protocoles SSL/TLS en prenant certaines précautions, et ne pas leur prêter une trop grande garantie de sécurité sur l'ensemble de la chaîne d'information.

Wé, c'est le genre de site qui fait sérieux, c'est le drapeau peut-être. En revanche, il ne dirait jamais de désactiver le protocole tls 1 pour de multiple raison de sécurité, mais c'est pas grave 😃

ignace72 a écrit On y trouve des truc pas glop :
Multiples vulnérabilités dans le noyau Linux d'Ubuntu
du 04 septembre 2014
http://cert.ssi.gouv.fr/site/CERTFR-2014-AVI-373/index.html

Bah, concernant ma distribution, je fais le suivi ici
Et je ne vois pas trop ce que vient faire cette remarque, une machine avec toutes les mises à jour de sécurité de faite ne pose pas de problème d'alerte en visitant ton site, c'est plutôt rassurant non ?

[supprimé]

Je sais, je comprends pas vite mais bon…

le truc sur le noyau c'est juste que c'est sur le même site.

[supprimé]

ignace72 a écritle truc sur le noyau c'est juste que c'est sur le même site.

Bah oui, c'est très sérieux en effet. Mais documente toi un peu quand même.
Voir ici
Et ici
Voilà!

[supprimé]

Merci,
J'ai fait les modif mais je passe pas le truc à 100 %.

[supprimé]

De rien. Je passe tous les tests avec Iceweasel 24.4.0 sur ma Debian Wheezy à jour.
Bonne journée à toi 🙂

Édit:

Sinon, pour plus de détail --> https://www.howsmyssl.com/s/about.html

« Page précédente Page suivante »