Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Les sites en https gratuits ?

voxdemonix

Localhost a écrit @Morgiver Cipher est un algorithme de chiffrement

C'est aussi une expression pour signifier chiffrement/crypto (exemple CypherPunk associé au crypto-anarchisme) 🙂
https://fr.wikipedia.org/wiki/Cypherpunk

tiramiseb a écrit Sur mon site perso, le certificat est parfait (barre verte).

Note quand même que la barre "Key Exchange" est a zero (je ne sais plus sur quoi il base la note de ce truc)
https://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Fwww.maccagnoni.eu%2F

PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

tiramiseb

mais si un client intéressé par vos prestations contrôle la sécurité ssl de votre site ?

Oui je sais. Tu as parfaitement raison.
En fait, j'y pense et puis j'oublie...

la barre "Key Exchange" est a zero (je ne sais plus sur quoi il base la note de ce truc)

Ouais c'est une histoire de config aussi.
https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide.pdf

Vous savez ce qu'on dit, les cordonniers sont les plus mal chaussés.
Mais vous allez me dire que ce n'est pas une excuse, je répondrai que vous avez parfaitement raison.

Faudrait juste que je m'y colle sérieusement pour faire quelque chose de vraiment bien. Pas juste 2 minutes à la va-vite.
Mais c'est pas toujours facile de se dégager du temps... Déjà que ça fait des mois que je voudrais refaire le site lui-même... :/

PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

Je ne saurais te dire précisément à quoi ça correspond, ça semble lié à un warning que le serveur web devrait émettre quand le client ne supporte pas SNI...
http://fr.wikipedia.org/wiki/Server_Name_Indication

C'est une fonctionnalité très récente de ce test, elle ne semble pas encore bien documentée.

Sur cette erreur liée à .net (donc a priori rien à voir avec la choucroute, mais en fait si un peu), le gars explique un truc lié à l'alerte SNI, maintenant je ne sais pas ce que ssllabs attend précisément pour que le truc soit valide.
http://blogs.msdn.com/b/fiddler/archive/2012/03/28/https-request-hangs-.net-application-connection-on-tls-server-name-indicator-warning.aspx

[supprimé]

voxdemonix a écrit PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

À priori et d'après ce que j'ai compris en lisant http://fr.wikipedia.org/wiki/Server_Name_Indication vous n'êtes pas concerné par SNI étant donné que votre certificat est auto-signé et le client devra toujours <<accepter les risques>> puis ajouter l'exception quelqu'il en soit. (peut être concerné toutefois pour que le dit client ne fasse exception d'une seule fois du certificat si vous avez plusieurs noms de domaine avec ce même client..🙂

Toujours d'après wikpédia, SNI permet de contourner le problème de plusieurs nom de domaine différents (plusieurs virtualhosts) devant être reconnus par un certificat commun sur un même serveur, ce qui reviendrait à l'équivalent d'un certificat distinct reconnu pour chaque virtualhost, donc pas de message d'alerte sur le navigateur client. (sous réserve que l'autorité est reconnue par le navigateur)

à vérifier.

tiramiseb

Localhost: SNI et certificat autosigné ne sont pas incompatibles. On peut utiliser SNI avec plusieurs certificats autosignés.

Pour info, j'ai déjà donné le lien wikipedia 1h30 auparavant...

Pour ceux qui ont connu l'enfer des connexions HTTPS avant le SNI, son invention a été une énorme libération ! 🙂

[supprimé]

tiramiseb a écritLocalhost: SNI et certificat autosigné ne sont pas incompatibles. On peut utiliser SNI avec plusieurs certificats autosignés.

Pour info, j'ai déjà donné le lien wikipedia 1h30 auparavant...

Pour ceux qui ont connu l'enfer des connexions HTTPS avant le SNI, son invention a été une énorme libération ! 🙂

grillé! oui effectivement je viens d'éditer entre-temps mon message précédant pour rajouter ça:

<<(peut être concerné toutefois pour que le dit client ne fasse exception d'une seule fois du certificat si vous avez plusieurs nom de domaine avec ce même client..🙂>>

tiramiseb

Si on a un seul hôte virtuel configuré sur un serveur, ça n'empêche pas d'utiliser SNI 🙂

bruno

@localhost: Je n'ai pas lu la page Wikipedia, mais ce n'est pas tout a fait ça.

SNI permet de résoudre le problème d'un serveur avec une seule adresse IP hébergeant plusieurs domaines différents (toto.fr, tata.fr, etc. ayant forcément des certificats différents). Typiquement, avec Apache, plusieurs hôtes virtuels basés sur les noms.

Dans ce cas le souci c'est que le serveur ne sait qu'il doit utiliser l'hôte virtuel toto.fr que lorsque une requête vers toto.fr est faite. Or la requête vers toto.fr n'est connue qu'après avoir établi la connexion TLS (problème du serpent qui se mord la queue). Le serveur Apache établit donc la connexion TLS et sert le premier hôte virtuel par défaut pour l'adresse IP. Il est donc certain que l'un ou l'autre site sera servi avec le mauvais hôte virtuel (et donc le mauvais certificat).

SNI permet au client d'inclure la requête vers toto.fr lors de la « poignée de main » TLS. Apache sait donc immédiatement quel hôte virtuel utiliser et le problème ne se pose plus…
Sauf que tous les clients ne prennent pas en charge SNI (Internet Explorer sur XP, Andoid 2.3, IOS3, par exemple). Si on veut être compatible avec les anciens navigateurs ce n'est donc pas utilisable et il faut alors utiliser une IP différente (ou un port différent) pour chaque hôte virtuel.

Ce que je décrit n'est qu'une transcription approximative : de https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

tiramiseb

bruno: je dois avouer que je n'ai pas essayé de comprendre précisément la tournure de phrase de Localhost, je n'ai pas réagi sur sa formulation... :rolleyes:

[supprimé]

ok bruno, merci pour votre explication, cette extension SNI est telle spécifique à apache ? j'ai vu que le test maccagnoni.eu de notre ami tiramiseb indique

Incorrect SNI alerts -

comme si cette extension n'était pas installée sur son serveur, il l'a dans le baba pour ses éventuels multiples certificats ou SNI fonctionne nativement sur son nginx ?

je m'en retourne maintenant à mes onions de mon localhost, pas besoin de SNI sous Tor (avec les temps qui courent 😃)

tiramiseb

Localhost: cette ligne ne concerne pas le support ou non de SNI mais une « alerte incorrecte », j'imagine pour quand le client n'utilise pas SNI. Mais sans précisions, ça ne pourra être que des suppositions.

SNI n'est pas spécifique à Apache et mon serveur NginX le supporte très bien : la preuve, j'ai des certificats différents sur plusieurs sites 🙂

voxdemonix

merci pour toutes vos infos 😉

Orang utan

Donc si je comprends ce forum s'y est mis.
Voila sous opera ce que ça donne :
http://hpics.li/0d5cffa
Il faut donc passer par firefox, mais on impose rien hein... :mad:

tiramiseb

Donc si je comprends ce forum s'y est mis.

Euh non, ce forum peut être consulté en HTTP ou en HTTPS, depuis très longtemps.
Sauf qu'il est hébergé sur une machine de l'université de Nantes et qu'en l'état actuel (si j'ai bien compris) il n'y a pas moyen d'utiliser un certificat autre que celui de l'université...

tiramiseb

Tiens, c'est bizarre, sur mon profil firefox actuel, depuis quelques minutes, quand j'essaie d'accéder en http ça me renvoie sur le https. Par contre si j'ouvre une nouvelle connexion en mode "fenêtre privée" ça fonctionne en http sans souci.

tiramiseb

... et après avoir vidé les entrées récente de firefox (cache, historique, etc, sur la dernière heure), je peux à nouveau me connecter au forum en http.

bruno

@Orang utan : le problème de certificat avec le forum est le même quel que soit le navigateur utilisé.

@tiramiseb : c'est ~~un bug~~ une fonctionnalité de Firefox. Une fois que tu as visité un site en https, Firefox ne te le proposera plus qu'en https.

abecidofugy

Des nouvelles du front : http://www.lemondeinformatique.fr/actualites/lire-let-s-encrypt-emet-son-premier-certificat-ssl-tls-gratuit-62371.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter

Waiting…

seb24

Pareil. Il est possible de s'inscrire à la beta:
https://docs.google.com/forms/d/15Ucm4A20y2rf9gySCTXD6yoLG6Tba7AwYgglV7CKHmM/viewform?c=0&w=1

abecidofugy

Cool seb24. Et pour un site avec des sous-domaines ? Ils ne disent pas si on peut avoir des certificats avec wildcard.

seb24

abecidofugy a écritCool seb24. Et pour un site avec des sous-domaines ? Ils ne disent pas si on peut avoir des certificats avec wildcard.

Il y a un forum sur leur site en anglais si tu veux un peu avoir plus d'info.
Pour l'instant pas de wildcard. du coup il faut demander un certificat pour chaque.
Il y a des discussions dans ce sens mais j'ai pas l'impression que ce sera proposé à court terme.

« Page précédente Page suivante »