Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 05/05/2015, à 09:39

abecidofugy

Les sites en https gratuits ?

Salut,

Je suis tombé sur ce site https://letsencrypt.org/
Ça serait vraiment bien qu'il y a une offre de certificat SSL gratuits et certifiés, car l'autosignature de certificat affiche une alerte trop présente pour le visiteur.

Hors ligne

#2 Le 05/05/2015, à 10:10

Morgiver

Re : Les sites en https gratuits ?

Wow ! Excellent !
Favorisation ! big_smile

En plus ils ont de lourds soutient Mozilla et Cisco, rien que ça smile

Dernière modification par Morgiver (Le 05/05/2015, à 10:11)

Hors ligne

#3 Le 05/05/2015, à 10:22

voxdemonix

Re : Les sites en https gratuits ?

1) On t'aime bien: certificat
2) On t'aime pas : va te faire foutre
3) T'es un activiste: on t'offre un certif dont on possède un passe partout histoire de MITM tes lecteurs/rédacteurs
4) T'es un pirate: tu as déjà un certificat signé et certifié qui ne provoque aucune alerte (voir même tu utilises celui d'une des machines corrompues)

PS: faire un site en https est déjà gratuit si tu utilise auto-signé...

lien en rapport: Mozilla déclare la guerre contre le "HTTP non-sécurisé : http://www.developpez.com/actu/84786/Mo … ole-HTTPS/

Dernière modification par voxdemonix (Le 05/05/2015, à 10:29)

Hors ligne

#4 Le 05/05/2015, à 18:48

Orang utan

Re : Les sites en https gratuits ?

Au revoir Firefox, bonjour Opera.


Le mensonge donne des fleurs, jamais de fruits (proverbe africain)

Hors ligne

#5 Le 06/05/2015, à 06:52

Morgiver

Re : Les sites en https gratuits ?

voxdemonix a écrit :

1) On t'aime bien: certificat
2) On t'aime pas : va te faire foutre
3) T'es un activiste: on t'offre un certif dont on possède un passe partout histoire de MITM tes lecteurs/rédacteurs

Ca reste à prouver dans les faits.

voxdemonix a écrit :

4) T'es un pirate: tu as déjà un certificat signé et certifié qui ne provoque aucune alerte (voir même tu utilises celui d'une des machines corrompues)

PS: faire un site en https est déjà gratuit si tu utilise auto-signé...

Un pirate peut déjà acheter un certificat signé et certifié qui ne provoque aucune alerte. Si t'es suffisamment motivé, utiliser une fausse identité ça peut être rapide.
Faire un site en https en auto-signé c'est un appel à ce qu'un pirate vienne se taper entre ton site et le client. Easy de faire passer un faux certificat, de toute façon, c'est auto-signé. Personne n'est là pour prouver que le Client se connecte bien à ton site.
Avec une troisième instance c'est un peu plus complexe quand même.
Et en cas de machine corrompue, certificat ou non, qu'il soit auto-signé ou non, le Client est dans la merde.

voxdemonix a écrit :

lien en rapport: Mozilla déclare la guerre contre le "HTTP non-sécurisé : http://www.developpez.com/actu/84786/Mo … ole-HTTPS/

C'est plutôt positif, quel est le problème dans le fait de vouloir encourager la sécurisation de tous les échanges ?

Hors ligne

#6 Le 06/05/2015, à 07:58

Orang utan

Re : Les sites en https gratuits ?

Le problème est qu'ils ne l'encouragent pas, ils l'imposent.


Le mensonge donne des fleurs, jamais de fruits (proverbe africain)

Hors ligne

#7 Le 06/05/2015, à 08:23

Morgiver

Re : Les sites en https gratuits ?

Pour moi ça reste de l'ordre de l'encouragement vu le nombre de navigateur disponibles.
Si eux proposent ce crénau, libre à chacun d'approuver ou non en utilisant les applications de Mozilla ou de choisir une autre boite.

Hors ligne

#8 Le 06/05/2015, à 08:31

seb24

Re : Les sites en https gratuits ?

Morgiver a écrit :

Pour moi ça reste de l'ordre de l'encouragement vu le nombre de navigateur disponibles.
Si eux proposent ce crénau, libre à chacun d'approuver ou non en utilisant les applications de Mozilla ou de choisir une autre boite.

Surtout qu'en parallèle ils supportent des certificat gratuits.


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#9 Le 06/05/2015, à 08:53

Morgiver

Re : Les sites en https gratuits ?

En effet, ça aurait fait assez mauvais genre d'imposer le HTTPS partout tout en proposant un service de certification payant.
Dans le genre ça aurait bien été une attitude à la Microsoft ou Apple big_smile

Là Mozilla reste tout à fait cohérent.

Hors ligne

#10 Le 06/05/2015, à 12:45

voxdemonix

Re : Les sites en https gratuits ?

Morgiver a écrit :
voxdemonix a écrit :

lien en rapport: Mozilla déclare la guerre contre le "HTTP non-sécurisé : http://www.developpez.com/actu/84786/Mo … ole-HTTPS/

C'est plutôt positif, quel est le problème dans le fait de vouloir encourager la sécurisation de tous les échanges ?

Encourager la sécurité, c'est bien. Vouloir forcer les gens a passer par une société tierce, dans un monde où l'on se sens oppressé par les gouvernements, les multinational et cette armée de moutons qui suit le troupeau en approuvant la fin des libertés, ça craint la mort. Si tu n'as pas confiance en cette société tierce, la pseudo sécurité qu'elle apporte c'est du vent.
Mais ce n'est pas le pire, le pire c'est de foutre en l'air le web a coups de "le css sur un autre serveur avec un autre certif auto signé on ne te l'affiche pas" (pas besoin d'aller loin pour l'exemple: https://forum.ubuntu-fr.org essaye avec TorBundle tu va vite en avoir marre) ou encore le "on fait peur aux gens qui vont sur ton site auto-sigé en leur balançant un gros bandeau en rouge 'attention vous êtes chez des dangereux pirates' ".

Dernière modification par voxdemonix (Le 08/10/2020, à 14:36)

Hors ligne

#11 Le 06/05/2015, à 13:31

Morgiver

Re : Les sites en https gratuits ?

voxdemonix a écrit :

Encourager la sécurité, c'est bien. Vouloir forcer les gens a passer par une société tierce, dans un monde où l'on se sens oppressé par les gouvernements, les multinational et cette armée de moutons qui suit le troupeau en approuvant la fin des libertés, ça craint la mort.

T'y va un peu fort quand même, je vois pas en quoi la Linux Foundation ou Mozilla participe à l'opression opérée par certains gouvernements, multinationales et participent activement à la lobotomisation des gens.
Jusqu'à preuve du contraire, ce sont des acteurs ayant suffisamment de background positif pour prétendre à une certaine confiance de la part de la communauté.

Ca tient pas debout ce que tu dis.

Dernière modification par Morgiver (Le 06/05/2015, à 13:32)

Hors ligne

#12 Le 06/05/2015, à 13:47

voxdemonix

Re : Les sites en https gratuits ?

Morgiver a écrit :

T'y va un peu fort quand même, je vois pas en quoi la Linux Foundation ou Mozilla participe à l'opression opérée par certains gouvernements, multinationales et participent activement à la lobotomisation des gens.
Jusqu'à preuve du contraire, ce sont des acteurs ayant suffisamment de background positif pour prétendre à une certaine confiance de la part de la communauté.

Ca tient pas debout ce que tu dis.

Linus Torvalds - Backdoor In Linux https://www.youtube.com/watch?v=7gRsgkdfYJ8

Moi tout se que je vois c'est de grosses ASBL qui subissent exactement les mêmes pressions gouvernementales/multinationales que tout le monde.

Dernière modification par voxdemonix (Le 08/10/2020, à 14:35)

Hors ligne

#13 Le 06/05/2015, à 14:25

Morgiver

Re : Les sites en https gratuits ?

ASBL ? T'es Belge toi big_smile

J'irai voir tes liens après le taff.

Hors ligne

#14 Le 06/05/2015, à 14:26

seb24

Re : Les sites en https gratuits ?

Ce sont des liens bidons. Pour résumer rapidement.


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#15 Le 06/05/2015, à 14:34

voxdemonix

Re : Les sites en https gratuits ?

Morgiver a écrit :

ASBL ? T'es Belge toi big_smile

J'irai voir tes liens après le taff.

Ouaip, c'est se qui me pousse a avoir une appréhension envers se qui vient de tout les "grands" pays (qui sont très très très rarement dans notre intérêt).

seb24 a écrit :

Ce sont des liens bidons. Pour résumer rapidement.

L o L naif

Dernière modification par voxdemonix (Le 06/05/2015, à 14:35)

Hors ligne

#16 Le 06/05/2015, à 17:48

Bob49

Re : Les sites en https gratuits ?

Salut

voxdemonix a écrit :

quant a mozzila, a chaque install de firefox il y a toute une procédure pour supprimer les spywares

Il faut arrêter de raconter des conneries aussi énormes !! Si Firefox doit être prit sur sur un site officiel de chez mozilla où il ne contient aucun sywares, de préférence ! D'ailleurs comme tous les logiciels.. Firefox n'est cependant pas le logiciel qui se retrouve avec des sywares ou autres toolbars....  Déjà pour les installations sous Windows, éviter entre autres les sites comme softonic, 01net qui modifient les exécutables !..


Lien inutile....

voxdemonix a écrit :
seb24 a écrit :

Ce sont des liens bidons. Pour résumer rapidement.

L o L naif

....seb24 n'est pas naïf, mais toi tu es ridicule dans ta réponse !... commence par mettre un lien correct !  lol

Et ne me répond pas que ça vient de Firefox, vu que cette adresse ne s'ouvrira pas avec d'autres navigateurs (Midori, Chromium, Chrome, Opera, etc...), car le certificat est périmé depuis le 20 février !!  Donc entièrement normal que l'on puisse pas avoir accès à ce site.  wink

Bref, revois ta copie pour la prochaine fois. big_smile

Dernière modification par Bob49 (Le 06/05/2015, à 18:08)


L'Anjou vs l'Occitanie en France ;-)
.
La patience est une vertu qui consiste à bien supporter des inconvénients sans pour cela se détourner d'une fin poursuivie.
%NOINDEX%

Hors ligne

#17 Le 06/05/2015, à 19:25

seb24

Re : Les sites en https gratuits ?

voxdemonix a écrit :
Morgiver a écrit :

ASBL ? T'es Belge toi big_smile

J'irai voir tes liens après le taff.

Ouaip, c'est se qui me pousse a avoir une appréhension envers se qui vient de tout les "grands" pays (qui sont très très très rarement dans notre intérêt).

seb24 a écrit :

Ce sont des liens bidons. Pour résumer rapidement.

L o L naif

Non Linus n'a jamais dit qu'il y avait un backdoor sur le Kernel.
La géolocalisation sur Firefox n'est pas activée par défaut.
Bref des mensonges visiblement totalement volontaires et assumés (avec un site avec un certificat SSL non valide en plus, le comble ^^)... Et après on vient donner des leçons de morale. roll


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#18 Le 07/05/2015, à 06:21

tiramiseb

Re : Les sites en https gratuits ?

Salut,

Sans attendre Let's Encrypt, StartSSL offre depuis longtemps des certificats gratuits (par contre, services autour payants).
C'est ce que j'ai déjà commencé à utiliser sur mes sites.

Hors ligne

#19 Le 07/05/2015, à 06:27

tiramiseb

Re : Les sites en https gratuits ?

Ah oui, et puis je suis de l'avis qu'activer automatiquement le SSL c'est bien, surtout par les temps qui courent (#PJLRenseignement, ça vous parle ?).

Encore une chose : l'alerte pour certificat auto-signé n'est pas rouge, elle est jaune.
Jaune, dans l'esprit des gens, c'est « avertissement », pas « danger ».

Et franchement, entre un certificat signé par "n'importe qui" et un certificat auto-signé, il n'y a pas de différence. Ce n'est pas parce qu'un certificat est signé par une autorité de certification que celle-ci peut faire n'importe quoi avec.

Hors ligne

#20 Le 07/05/2015, à 08:33

seb24

Re : Les sites en https gratuits ?

tiramiseb a écrit :

Salut,

Sans attendre Let's Encrypt, StartSSL offre depuis longtemps des certificats gratuits (par contre, services autour payants).
C'est ce que j'ai déjà commencé à utiliser sur mes sites.

Ça fonctionne bien ? Perso je connaissais pas, mais le fait que ce soit supporte par Mozilla me donne un peu plus confiance que d'autres solutions.


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#21 Le 07/05/2015, à 08:37

tiramiseb

Re : Les sites en https gratuits ?

Euh, ne mélangeons pas tout.

Let's Encrypt est une initiative supportée par Mozilla mais qui n'est pas encore en mesure de signer des certificats.

StartSSL n'a rien de spécial en terme de support par Mozilla... en tout cas rien de plus que les autres CA.

Hors ligne

#22 Le 07/05/2015, à 09:51

seb24

Re : Les sites en https gratuits ?

tiramiseb a écrit :

Euh, ne mélangeons pas tout.

Let's Encrypt est une initiative supportée par Mozilla mais qui n'est pas encore en mesure de signer des certificats.

StartSSL n'a rien de spécial en terme de support par Mozilla... en tout cas rien de plus que les autres CA.

Mmmh ok du coup je vais attendre qu'ils fournissent les certificats avant de tester.


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#23 Le 07/05/2015, à 11:16

tiramiseb

Re : Les sites en https gratuits ?

Le problème de ton certificat, c'est qu'il est autosigné.

Le but de SSL n'est pas que de chiffrer les communications, c'est aussi de valider à qui on est en train de parler. Avec un certificat autosigné, "n'importe qui" peut faire une attaque MITM.
Si quelqu'un peut se mettre en écoute pour lire le contenu d'une transmission en clair, il peut bien souvent faire un MITM sur une connexion SSL avec un certificat autosigné.

L'alerte jaune fait peur, oui. Et quand des éléments d'une page proviennent d'un autre domaine qui a un certificat invalide (expiré ou autosigné), alors il y a des horreurs d'affichage, oui.
C'est pour ça qu'il va y avoir Let's Encrypt : une autorité de certification pour avoir des certificats SSL gratuits => plus aucune excuse pour avoir un certificat autosigné.

Il est également envisagé de mettre une alerte pour les sites en clair, car oui c'est quand même moins glop qu'un certificat autosigné. Mais ça ne peut pas être fait du jour au lendemain.

---------------------

Concernant ton histoire de "spyware" (vocabulaire particulièrement mal choisi, car il n'y a ici aucun spyware, aucun « logiciel dont le but est d'espionner »), les requêtes GET envoyées à google par exemple ne me semblent pas excessives en terme d'informations envoyées... Qu'est-ce qui te chose à ce niveau-là ?


Pour une recherche sur la chaîne "tititi", ça donne :

Requête :
https://www.google.fr/search?client=ubu … 1AXRroGoDQ

En-têtes :
Host=www.google.fr
User-Agent=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language=fr,fr-FR;q=0.5
Accept-Encoding=gzip, deflate
Cookie=[...]
Connection=keep-alive

Hors ligne

#24 Le 07/05/2015, à 12:01

tiramiseb

Re : Les sites en https gratuits ?

le problème est que je voudrais répartir les ressources (images) sur plusieurs server utilisant plusieurs connexions et que je ne peux pas car si non firefox fou tout en l'air comme sur ubuntu-fr

Ben si, tu peux : avec des certificats corrects.

vouloir forcer les webmaster a baser leur sécurité sur des sociétés louches ça dégoute un peu

Techniquement, un certificat signé par quelqu'un de louche n'est pas pire qu'un certificat autosigné.
Le certificat autosigné, il n'y a aucun moyen de lui faire confiance, aucun moyen de valider qu'il est ce qu'il dit être.
Le certificat signé, tant que ton visiteur fait confiance au signataire tout va bien. Et si on peut pas faire confiance au signataire, alors c'est comme un autosigné (mais sans alerte).

Comment je fais pour générer un nouveau certificat signé [...] sans donner des informations personnels

Impossible. Un certificat qui est signé, ça veut dire que le signataire a vérifié l'identité de celui qui utilise le certificat.

Je ne suis pas sûr qu'ils osent faire ça

https://www.chromium.org/Home/chromium- … non-secure

Hors ligne

#25 Le 07/05/2015, à 12:09

Morgiver

Re : Les sites en https gratuits ?

Vu le déroulement du topic, j'ai plus l'impression que Voxdemonix est fort dérangé par l'absence de contrôle sur les certificats s'il doit faire intervenir une autorité tierce.

Voxdemonix, à mon avis, tu as une exigence d'anonymat qui pète le plafond. Va falloir trouver d'autres moyens pour passer full ghost big_smile
Du moins sur le Web. Après il y a d'autres réseaux sur internet qui permettent un anonymat complet.

Hors ligne