Mmmh ok du coup je vais attendre qu'ils fournissent les certificats avant de tester.tiramiseb a écritEuh, ne mélangeons pas tout.
Let's Encrypt est une initiative supportée par Mozilla mais qui n'est pas encore en mesure de signer des certificats.
StartSSL n'a rien de spécial en terme de support par Mozilla... en tout cas rien de plus que les autres CA.
Ben si, tu peux : avec des certificats corrects.le problème est que je voudrais répartir les ressources (images) sur plusieurs server utilisant plusieurs connexions et que je ne peux pas car si non firefox fou tout en l'air comme sur ubuntu-fr
Techniquement, un certificat signé par quelqu'un de louche n'est pas pire qu'un certificat autosigné.vouloir forcer les webmaster a baser leur sécurité sur des sociétés louches ça dégoute un peu
Impossible. Un certificat qui est signé, ça veut dire que le signataire a vérifié l'identité de celui qui utilise le certificat.Comment je fais pour générer un nouveau certificat signé [...] sans donner des informations personnels
https://www.chromium.org/Home/chromium-security/marking-http-as-non-secureJe ne suis pas sûr qu'ils osent faire ça
"comme avant" ? Quand il n'y avait pas SSL tu veux dire ?impossible de monter son petit site a l'ancienne sans demander rien a personne comme avant
Oui mais :Tu peux utiliser Tor Hidden Service qui garanti de façon efficace que tu communiques avec la bonne personne
... l'« identité » du service est assurée par autre chose : son nom qui est immuable et que tu ne peux pas choisir.https://www.torproject.org/docs/hidden-services.html.en a écritAlthough it might seem impractical to use an automatically-generated service name, it serves an important goal: Everyone – including the introduction points, the distributed hash table directory, and of course the clients – can verify that they are talking to the right hidden service
Oui, avec le même pseudo. Mais je vois pas ce que ça apportera de plus.Tu as twitter? (pour pouvoir papoter en "privé")
Moi c'est mon boulot. Entre autres.PS: il faut aussi savoir que la sécurité numérique est une de mes passions
Tant fait pas pour moi, je sais ce que sais. Mais ce n'est pas pour cela que tous les navigateurs sont concernés.voxdemonix a écritLes spyware dont je parle sont visible dans les variables GET des moteurs de recherches installé par défaut sur le firefox installé par défaut sur Ubuntu. Après tu peux parler sans vérifier, surement fais-tu partie des 99% de gens qui ne savent pas se qu'est une variable GET.Bob49 a écritSalut
Il faut arrêter de raconter des conneries aussi énormes !! Si Firefox doit être prit sur sur un site officiel de chez mozilla où il ne contient aucun sywares, de préférence !
Dommage que j'ai pas enregistré les captures que je voulais faire hier soir !! :rolleyes: Mais bon passons sur cette histoire de date.......... de toute façon, l'accès à l'adresse est vraiment impossible à partir des navigateurs que j'ai cité hier, donc ne dit pas que le problème vient d'un navigateur, alors que c'est un problème de certificat, c'est tout.voxdemonix a écritDébute le : 23/02/15Bob49 a écrit Et ne me répond pas que ça vient de Firefox, vu que cette adresse ne s'ouvrira pas avec d'autres navigateurs (Midori, Chromium, Chrome, Opera, etc...), car le certificat est périmé depuis le 20 février !! Donc entièrement normal que l'on puisse pas avoir accès à ce site.
Bref, revois ta copie pour la prochaine fois.
Expire le : 20/02/25
Si tu ne sais pas lire une date, je ne saurais rien faire pour toi
C'est pour cela qu'on le laisse, à chacun son domaine... mais ce n'est pas pour cela que l'on ne peut pas répondre à des énormités...voxdemonix a écritTiramiseb, tu es le seul dans ce topic qui réponds technique (comme d'hab)
Si ton site, c'est la fameuse adresse que tu nous as donné, tous tes potes utilisant n'importe quel navigateur doivent vraiment être emmerdés, vu qu'avec aucun de ceux-ci ça passe (au moins dans les plus réputés) !..voxdemonix a écrit...Et je me sens insulté quand j'invite un pote et qu'il reste bloqué sur une page d'alerte alors que mon site a une meilleure note de sécurité que ma banque
Bob49 a écritSalut.............
Bob49 a écritTant fait pas pour moi, je sais ce que sais. Mais ce n'est pas pour cela que tous les navigateurs sont concernés.voxdemonix a écritLes spyware dont je parle sont visible dans les variables GET des moteurs de recherches installé par défaut sur le firefox installé par défaut sur Ubuntu. Après tu peux parler sans vérifier, surement fais-tu partie des 99% de gens qui ne savent pas se qu'est une variable GET.Bob49 a écritSalut
Il faut arrêter de raconter des conneries aussi énormes !! Si Firefox doit être prit sur sur un site officiel de chez mozilla où il ne contient aucun sywares, de préférence !
https://forum.ubuntu-fr.org/viewtopic.php?id=1833301&p=1#p19765231voxdemonix a écrit (sur linuxfr on m'a fait remarqué que firefox sur Debian ne possède pas ses mouchards)
on en conclut donc que tu utilise ubuntu-fr.org en version non https. Si non, lors de ta première visite en https, tu aurais dû accepter exactement la même alerte de sécurité que sur le dit site que tu insultes(enfaite en pire vu qu'il faut accepter 2 certif pour ubuntu-fr). Tu as la même alertes de sécurité sur le site de tiramiseb soit dit en passant (j'ai visité tout a l'heure).Bob49 a écritSi ton site, c'est la fameuse adresse que tu nous as donné, tous les potes utilisant n'importe quel navigateur doivent vraiment être emmerdés, vu qu'avec aucun de ceux-ci ça passe (au moins dans les plus réputés) !..voxdemonix a écrit ...Et je me sens insulté quand j'invite un pote et qu'il reste bloqué sur une page d'alerte alors que mon site a une meilleure note de sécurité que ma banque
Je parlais a morgiver, j'ai déjà ton twitter si tu te rappel ^^tiramiseb a écritOui, avec le même pseudo. Mais je vois pas ce que ça apportera de plus.Tu as twitter? (pour pouvoir papoter en "privé")
Soit tu as une configuration à la con, soit tu fais toi même le con (sans vouloir de vexervoxdemonix a écrit on en conclut donc que tu utilise ubuntu-fr.org en version non https. Si non, lors de ta première visite en https, tu aurais dû accepter exactement la même alerte de sécurité que sur le dit site que tu insultes(enfaite en pire vu qu'il faut accepter 2 certif pour ubuntu-fr). Tu as la même alertes de sécurité sur le site de tiramiseb soit dit en passant (j'ai visité tout a l'heure).
Pour ton histoire de screenshot bidule, si la date indiquée était autre, alors tu as croisé une boite Noire car la date de création du certif est indiqué dedans. (voir précèdent)
) !, je n'ai jamais eu de message d'erreur. Quelque soit le navigateur utilisé (ceux cités plus haut) et vérifier encore ce matin au moins une vingtaine de fois, après supprimés historique et vidé tout les caches entre chaque connexions y compris celui du système. Justement, voxdemonix évoque tout de même un blocage avec ton site ! Les sujets du fil est tout de même lié aux auto-signés.tiramiseb a écrit La différence entre mon site et le site de voxdemonix, c'est que mon certificat est signé par une autorité de certification, c'est pourquoi il n'y a pas d'erreur, mon certificat n'est pas autosigné.
J'en suis pleinement conscient. Quoi que l'évocation de sa part vis-à-vis de ses accès aux adresses qu'il donne, c'est un ressenti d'utilisateur aussi et vu aussi qu'il dit être bloqué pour ton site (là j'aurais tendance à penser problème lié à la configuration du navigateur..)!... Alors que je n'arrive pas à avoir un seul blocage, ce qui me parait entièrement normal !tiramiseb a écritBob49: attention, voxdemonix évoque des aspects très techniques et toi tu ne parles que du ressenti utilisateur, aucunement technique.
Attention, il a donné le lien vers mon site professionnel en HTTPS.voxdemonix évoque tout de même un blocage avec ton site
Je suis d'accord avec toi sur un point : le site de voxdemonix ne permet pas d'accès sans avoir à accepter un certificat autosigné dont on ne peut pas vérifier la validité. Sauf que mon raisonnement va dans l'autre sens : enlever le "S" n'est pas une solution acceptable, par contre voxdemonix devrait utiliser un certificat correctement signé.Bref, qu'il y est quelques problèmes avec le forum, ce qui n'empêche pas l'accès... avec son site, il y à un véritable problème...
Ah non, il donne l'adresse https://www.smm-informatique.fr/ , quand il s'adresse à moi dans son dernier message !tiramiseb a écritAttention, il a donné le lien vers mon site professionnel en HTTPS.voxdemonix évoque tout de même un blocage avec ton site
Mon site professionnel n'a pas encore été configuré en HTTPS, il y a un certificat auto-signé. Comme chez lui.
voxdemonix: en parlant de mon site, on parle du site perso, https://www.maccagnoni.eu.
Regarde dans ma signature, le lien vers le site pro est en HTTP, pas en HTTPS.
Mon site perso n'a pas de problème de certificat.
De tout façon comme je l'ai évoqué plus haut, enlever le S à l'adresse de son site ne donne rien, d'où mon évocation d'un véritable problème...tiramiseb a écritSauf que mon raisonnement va dans l'autre sens : enlever le "S" n'est pas une solution acceptable, par contre voxdemonix devrait utiliser un certificat correctement signé.
Oui, c'est ce que je voulais dire, la 2me partie s'adressant à voxdemonix, pour lui dire que toi et moi on parle de mon site perso, alors que lui a testé mon site pro, pour lequel je n'ai pas encore mis de certificat SSL correct (et pour lequel je n'ai jamais diffusé d'adresse en HTTPS ; il est le premier internaute à poster un lien vers mon site pro en HTTPS).Ah non, il donne l'adresse https://www.smm-informatique.fr/ quand il s'adresse à moi
Ce n'est pas un problème, j'ai consciemment désactivé http (via "RewriteEngine On" et "RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}") afin qu'on ne puisse visiter QUE en HTTPS. (et a la base le site n'était accessible que via Tor, le DNS n'est ouvert que pour rendre service a des personnes âgées pour qui Tor est un dieu nordique ^^)Bob49 a écrit De tout façon comme je l'ai évoqué plus haut, enlever le S à l'adresse de son site ne donne rien, d'où mon évocation d'un véritable problème...
donner des infos privé, beurk beurk beurk. Puis c'est un site privé, mon pauvre Raspberry Pi ne saurait jamais tenir le coups face a une invasion de français en quête d'anonymat ^^ Par conter si se que tu dis a propos de simplement placer un fichier a la racine, alors là c'est faisable, je n'aurais pas cette impression d'avoir encore offert mes infos persotiramiseb a écrit par contre voxdemonix devrait utiliser un certificat correctement signé.
une alerte de sécurité n'est pas un blocage. Blocage sous entends que tu ne peux pas cliquer sur "Ajouter une exception permanente"tiramiseb a écritAttention, il a donné le lien vers mon site professionnel en HTTPS.voxdemonix évoque tout de même un blocage avec ton site
Voici les infos qui m'ont permis de config le serveur sous apache2.2 ICI, j'aimerais rendre compatible le tutoriel avec apache2.4, si tu veux aidertiramiseb a écrit Par ailleurs, mon serveur web est moins bien noté que voxdemonix à ce niveau-là car il accepte des connexions moins sécurisées (anciennes versions de SSL). Faudrait que je m'y penche, c'est pas grand chose, j'ai juste eu la flemme jusqu'ici. Purement en terme de chiffrement, le serveur de voxdemonix est mieux configuré que le mien. Par contre le mien a un certificat correctement signé.
@localhost si tu veux aider a rendre le tuto encore plus efficace (atteindre le A+) je suis preneur ^^Je n'ai rien contre ça, j'ai contre le fait que mozzila et co casse le web en ne chargeant pas le contenu sous prétexte qu'il utilise un certificat autosigné (comme pour https://forum.ubuntu-fr.org ). Je trouve tout a fait logique pour un site officiel de faire signer son certificat, mais pas pour l'auto-hébergement/internet des objets/cloud personnel/etc.tiramiseb a écritM'enfin je ne vois toujours pas ce qui gêne voxdemonix dans le fait de faire signer des certificats par une autorité.
Je ne suis point vexéBob49 a écritSoit tu as une configuration à la con, soit tu fais toi même le con (sans vouloir de vexer
(je vous aime tous ! )Parfaitement d'accord avec toi, c'est la meilleure chose à faire : forcer le TLS.j'ai consciemment désactivé http (via "RewriteEngine On" et "RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}") afin qu'on ne puisse visiter QUE en HTTPS.
Encore une fois, je ne suis pas sûr que ce soit nécessaire. Ce qui est indispensable, c'est bien sûr de prouver que tu es propriétaire du site ; mais à mon avis, si tu t'inscris chez StartSSL (par exemple) sous une fausse identité, ça ne les empêchera pas de te signer un certificat.donner des infos privé, beurk beurk beurk
J'utilise NginX.apache2.2 [...] apache2.4
Comme tu l'as expliqué, le problème est que le contenu est à une autre adresse. Et quand il charge un contenu, Firefox est pas foutu de mettre la même alerte "jaune" : on n'a cette alerte que si on accède directement au contenu, pas quand il est appelé d'une page déjà ouverte. Je suis d'accord avec toi, ça c'est nul.j'ai contre le fait que mozzila et co casse le web en ne chargeant pas le contenu sous prétexte qu'il utilise un certificat autosigné
Alors là je ne suis pas tout à fait d'accord.Je trouve tout a fait logique pour un site officiel de faire signer son certificat, mais pas pour l'auto-hébergement/internet des objets/cloud personnel/etc.
