Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1 2

#1 Le 09/09/2014, à 10:56

arn0-Linux

https (sans certificat) au lieu du http = plus de securité ?

Bonjour,

Je dispose d'un site sur un serveur dédié et j'aimerais savoir si je met la partie administration en https sans installer de certificat ou autre, est-ce que le https est mieux niveau sécurité ? Même si j'aurais un message comme quoi le certificat n'est pas valable etc.

Si c'est mieux niveau sécurité comment fait-on pour configurer la partie admin du site que sa pointe vers le https et non le http ? Faut faire un pointage DNS sur le sous domaine en question ? Quelque chose à configurer sur webmin par exemple ?

Merci par avance.

Hors ligne

#2 Le 09/09/2014, à 11:08

jplemoine

Re : https (sans certificat) au lieu du http = plus de securité ?

Je pense que tu ne peux pas faire de "https sans installer de certificat ou autre".
Par contre, tu peux, de mémoire, utiliser un certificat auto-signé.

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 09/09/2014, à 11:32

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

L’intérêt du https est que les données ne circulent pas en clair sur les réseaux. C'est donc particulièrement indiqué pour les pages nécessitant saisie d'identifiants ou le transfert de données confidentielles.

Pour la partie « admin » de ton site, soit du fait une redirection permanente du genre : toutes les urls de type /admin sont redirigées de manières permanente vers https://monserveur:443/admin, soit si tu as un sous domaine du type admin.monserveur, tu crées un hôte virtuel ne faisant que du https. Il y a pleins de docs là dessus…

Pour une utilisation personnelle, le certificat auto-signé n'est pas un problème.

Hors ligne

#4 Le 09/09/2014, à 13:04

ssdg

Re : https (sans certificat) au lieu du http = plus de securité ?

Comme je l'ai défendu sur une autre discution, le certificat auto-signé n'est pas un problème. La signature par une autorité ne permet que de faire confiance "par défaut", (confiance en firefox => confiance en "blabla CA" =>  confiance en site.com puisque le certificat est validé par "blablaCA" qui est inclus dans firefox)

Il suffit de vérifier la signature du certificat à la main (comparer celui qu'on à généré pour le serveur et celui qui est présenté dans le navigateur) et on obtient un niveau de sécurité égal voire supérieur au niveau d'un https://google.com.

Si le serveur est bien configuré (trouver pile le bon réglage, c'est dur) alors comme on a vérifié soi même le certificat et donc éliminé des intermédiaires. Des intermédiaires comme le gouvernement japonais, des entreprises turques, chinoises ou américaines. Avec tout ce qu'impliquent leurs lois soit disant anti-terrorisme.

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#5 Le 09/09/2014, à 14:15

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

J'ai un sous domaine de type admin.mon serveur. Donc pour resumer je fait un pointage DNS en https au niveau du sous domaine et de l'IP du serveur puis dans virtualmin je crais également l'hote. Puis je supprime la redirection avec le http c'est bien sa ?

Et après quand je ferais https://admin.monserveur j'aurais un message dans le navigateur du type "cette connexion n'est pas certifiée" "Je comprend les risques" c'est bien sa ? (c'est juste pour moi cette page donc les messages ne gene pas)

Hors ligne

#6 Le 09/09/2014, à 14:23

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

« Un pointage DNS en https » cela ne veut rien dire…

Hors ligne

#7 Le 09/09/2014, à 14:35

ssdg

Re : https (sans certificat) au lieu du http = plus de securité ?

bruno > en fait, c'est surtout impossible (que je sache) de dire "la machine derrière XXXXX" doit être accédée en https au lieu d'HTTP

Là encore, il est possible de faire quelque chose qui ressemble à ça pour l'utilisateur en invitant le navigateur à recharger la page via l'autre protocole à la première requête. (en gros: donne moi "http://blabla/admin" reçoit pour réponse "ça n'est plus là, essaie https://blabla/admin"

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#8 Le 09/09/2014, à 15:26

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

@ssdg : surtout ce n'est pas le rôle d'une serveur de nom. Même les enregistrement SRV n'onta pas cette utilité.

Au niveau du DNS il doit juste y avoir un enregistrement (A, AAAA, ou CNAME) de sorte que admin.monserveur corresponde à l'adresse IP du serveur.

Après c'est dans le fichier de configuration de l'hôte virtuel pour admin.monserveur que cela ce gère. Il y a des dizaines d'exemples sur le web pour faire cela.

Hors ligne

#9 Le 11/09/2014, à 16:11

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

Et on est obligé de faire un certificat ? On peut pas juste configurer sur le serveur que l’hôte admin.monsite.fr est accessible en https et non http ?

Hors ligne

#10 Le 11/09/2014, à 16:18

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

HTTPS c'est la combinaison du protocole HTTP avec une couche de chiffrement TLS (ou SSL). Cela ne peut pas se faire sans certificat.

Hors ligne

#11 Le 11/09/2014, à 17:46

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

OK merci. Et on peut faire un certificat gratuitement ? Si oui comment fait-on et comment le mettre sur le serveur ? (lien tuto ?)

Hors ligne

#12 Le 11/09/2014, à 17:52

jplemoine

Re : https (sans certificat) au lieu du http = plus de securité ?

jplemoine a écrit :

Je pense que tu ne peux pas faire de "https sans installer de certificat ou autre".
Par contre, tu peux, de mémoire, utiliser un certificat auto-signé.

--> ce que tu appelles  "faire un certificat gratuitement" est justement un certificat auto-signé --> c'est toi qui le génère pour ton utilisation.

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#13 Le 11/09/2014, à 18:01

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

http://doc.ubuntu-fr.org/tutoriel/secur … 2_avec_ssl
http://www.it-connect.fr/configurer-le- … %EF%BB%BF/

Hors ligne

#14 Le 11/09/2014, à 23:14

ssdg

Re : https (sans certificat) au lieu du http = plus de securité ?

En fait, ce qui coute des sous, c'est la signature de ton certificat par une autorité de certification incluse dans les navigateurs. (pour simplifier)

Moi, par exemple, j'ai mon autorité de certification reconnue par mes firefox, mon thunderbird et mon téléphone. Ça ne m'a coûté que le temps de configurer tout ça. (mais ça ne marche que chez moi... En gros, je me fais confiance big_smile )

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#15 Le 11/09/2014, à 23:40

pires57

Re : https (sans certificat) au lieu du http = plus de securité ?

En gros, je me fais confiance

Ouai c'est le problème lol

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#16 Le 16/09/2014, à 11:29

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

Bonjour,

Pour revenir sur le certificat SSL. Si j'en achete un (car 49eu/an ce n'est pas excessif) est-ce que je peux le configurer sur plusieurs domaines ?
En gros j'ai le domaine principale qui pointe vers un hébergement mutualisé et 2 sous domaines vers un serveur dédié. Donc est-ce possible d'utiliser le certificat SSL pour les 3 ?

Le mise en place est plus simple qu'un certificat auto signé ?

Dernière modification par arn0-Linux (Le 16/09/2014, à 11:29)

Hors ligne

#17 Le 16/09/2014, à 13:40

bruno

Re : https (sans certificat) au lieu du http = plus de securité ?

Que le certificat soit signé par toi-même ou une autorité de certification cela ne change rien à la mise en place (au contraire le certificat auto-signé nécessite une étape de moins…)

Tu peux générer un certificat avec « joker » (wildcard) avec pour CN *.tondomaine.fr. Il sera valable pour tous les sous domaines que tu pourras utiliser www.tondomaine.fr, truc.domaine.fr, etc. Il faut voir si le prestataire qui signe ton certificat accepte cela, c'est le cas en général mais c'est beaucoup plus cher (à partir de 120 € HT/an pour un certificat wildcard chez Gandi par exemple).

Hors ligne

#18 Le 22/09/2014, à 16:08

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

bruno a écrit :

Bonjour, j'ai lu la methode de IT Connect concernant la "methode rapide" où il y a pas besoin de generer un certificat.

A ce qu eje vois il suffit d'activer le mode SSL d'apache via les commandes suivantes :

a2enmod ssl
a2ensite default-ssl
service apache2 reload

Ces commandes fonctionnent correctement ?

D'autre part dans le tuto on parle du rep var/www or sur mon serveur c'est dans /home sa change rien au bon fonctionnement et à la mise en place du ssl apache ?

Dans el tuto on parle d'un certificat valide pendant 10 ans est-ce toujours le cas ?

Avec cette methode est ce qu'on peut rediriger un site en particulier de http vers https et laisser les autres en http ? On cela active le https sur tous les sites ?

Dernière modification par arn0-Linux (Le 22/09/2014, à 16:09)

Hors ligne

#19 Le 22/09/2014, à 18:05

ssdg

Re : https (sans certificat) au lieu du http = plus de securité ?

Ce que ces commandes vont créer c'est un site qui utilise le certificat "par défaut" (j'ose espérer que ce certificat est généré à l'installation du paquet, mais je ne parierait pas là dessus) et si ce certificat n'est pas généré sur la machine de l'utilisateur (encore une fois aucune garantie) alors il y a de fortes chances que ce certificat soit aussi celui installé sur ma machine.

Et si j'ai le même certificat, alors je peux me faire passer pour ton serveur sans aucun problème.


Générer un certificat prend seulement quelques secondes (une 30 aine peut être) sur une machine récente, tu peux le faire sur ton ordi "bureau"/"portable" et le copier sur ton serveur sans soucis. Il suffit de lire le fichier default-ssl dans /etc/apache/sites-availlable (de tête, peut être légèrement différent en vrai) et de mettre le chemin vers ton fichier que tu as crée.

Générer un certificat coute quelques minutes de ta vie et pas un sou.

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#20 Le 23/09/2014, à 09:34

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

Des news a priori j'ai déjà un certificat auto signé sur les sous domaine...

En gros :
domaine prinicpale => hebergement mut (on s'en fout wink

ssdomaine1 => server dedié
ssdomaine2 => serveur dedié

Donc quand je fais https/:ssdomaine2 le navigateur me dit :

ssdomaine2 utilise un certificat de sécurité invalide. Le certificat n'est pas sûr car il est auto-signé. Le certificat n'est valide que pour *.ssdomaine1

https/:ssdomaine1

ssdomaine1 utilise un certificat de sécurité invalide. Le certificat n'est pas sûr car il est auto-signé. Le certificat n'est valide que pour *.ssdomaine1

Donc en gros a ce que je comprend il y a un certificat SSL auto signé sur le ssdomaine1 qui a l'air de focntionnait aussi pour le ssdomaine2 (vu que c'est la meme IP)

Ce qui m'interesse c'est mettre le https sur le ssdomaine2 donc dans le virtualhost il suffit que j'integre la conf SSL comme avec le ssdomaine1 puis de desactiver le http sur le ssdomaine2 et sa sera plus securisé que si c'etais en http ??

Hors ligne

#21 Le 23/09/2014, à 09:42

jplemoine

Re : https (sans certificat) au lieu du http = plus de securité ?

arn0-Linux a écrit :

Donc en gros a ce que je comprend il y a un certificat SSL auto signé sur le ssdomaine1 qui a l'air de focntionnait aussi pour le ssdomaine2 (vu que c'est la meme IP)

Je ne connais que très peu les certificats SSL mais je ne crois pas que l'IP rentre en ligne de compte.
Dans ton certificat, il y a l'URL et dans ton définition de ton Vhost, il faut pointer sur le certificat qui correspond à ton URL
ssdomaine1 => certificat1
ssdomaine2 => certificat2

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#22 Le 23/09/2014, à 13:41

ssdg

Re : https (sans certificat) au lieu du http = plus de securité ?

J'imagine que si le certificat est valable pour
*.domaineprincipal.fr
il sera valable pour
https://domaineprincipal/...
https://ssdomaine1.domaineprincipal/...
https://ssdomaine2.domaineprincipal/...

Mais si le "sous domaine" est accessible par:
https://ssdomaine2/ (sans ".domaineprincipal") alors tu l'aura dans l'os puisque ce n'est pas un sous domaine mais un domaine à part.

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#23 Le 23/09/2014, à 14:36

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

Je sais pas trop j'ai l'impression que le certificat est valide que sur https://ssdomaine1.domaineprincipal/ car quand je fais https://ssdomaine2.domaineprincipal/ sa me dit Le certificat n'est valide que pour *.ssdomaine1.domaineprincipal/ mais ce que je comprend pas c'est pourquoi quand je tape https://ssdomaine2.domaineprincipal/ sa marche comme avec l'autre ?

Le certificat est sur /home/ssdomaine1 mais j'ai l'impression que sa marche car l'IP est la meme car sur la conf des virtualhost j'ai sa dans site-available

Pour le sous domaine 1 :

<VirtualHost IPSERVER:80>
SuexecUserGroup "#1001" "#1001"
ServerName ssdomaine1.domaineprincipal
ServerAlias www.ssdomaine1.domaineprincipal
.................
</VirtualHost>

<VirtualHost IPSERVER:443>
SuexecUserGroup "#1001" "#1001"
ServerName ssdomaine1.domaineprincipal
ServerAlias www.ssdomaine1.domaineprincipal
.............
</Directory>
SSLEngine on
SSLCertificateFile /home/ssdomaine1/ssl.c
SSLCertificateKeyFile /home/ssdomaine1/ssl.k
</VirtualHost>

Sa vous semble correct ?

Pour le ssdomaine2 j'ai la meme chose sauf qu'il y a uniquement la declaration du port 80. Donc dans le sous domaine2 si je rajoute ce qu'il y a a partir du port 443 sa devrait marcher ?

Dernière modification par arn0-Linux (Le 23/09/2014, à 14:36)

Hors ligne

#24 Le 25/09/2014, à 14:35

arn0-Linux

Re : https (sans certificat) au lieu du http = plus de securité ?

arn0-Linux a écrit :

Je sais pas trop j'ai l'impression que le certificat est valide que sur https://ssdomaine1.domaineprincipal/ car quand je fais https://ssdomaine2.domaineprincipal/ sa me dit Le certificat n'est valide que pour *.ssdomaine1.domaineprincipal/ mais ce que je comprend pas c'est pourquoi quand je tape https://ssdomaine2.domaineprincipal/ sa marche comme avec l'autre ?

Le certificat est sur /home/ssdomaine1 mais j'ai l'impression que sa marche car l'IP est la meme car sur la conf des virtualhost j'ai sa dans site-available

Pour le sous domaine 1 :

<VirtualHost IPSERVER:80>
SuexecUserGroup "#1001" "#1001"
ServerName ssdomaine1.domaineprincipal
ServerAlias www.ssdomaine1.domaineprincipal
.................
</VirtualHost>

<VirtualHost IPSERVER:443>
SuexecUserGroup "#1001" "#1001"
ServerName ssdomaine1.domaineprincipal
ServerAlias www.ssdomaine1.domaineprincipal
.............
</Directory>
SSLEngine on
SSLCertificateFile /home/ssdomaine1/ssl.c
SSLCertificateKeyFile /home/ssdomaine1/ssl.k
</VirtualHost>

Sa vous semble correct ?

Pour le ssdomaine2 j'ai la meme chose sauf qu'il y a uniquement la declaration du port 80. Donc dans le sous domaine2 si je rajoute ce qu'il y a a partir du port 443 sa devrait marcher ?

Personne pour m'aider sur ce que j'ai mis ci-dessous ?

Et si j'achete un certificat il suffit que je mette le certificat ssl dans un dossier du serveur pui sde faire comme ce qu'il y a au niveau du port 443 ?

Hors ligne

#25 Le 13/12/2015, à 12:04

Compte supprimé

Re : https (sans certificat) au lieu du http = plus de securité ?

bruno a écrit :

L’intérêt du https est que les données ne circulent pas en clair sur les réseaux. C'est donc particulièrement indiqué pour les pages nécessitant saisie d'identifiants ou le transfert de données confidentielles.

Pour la partie « admin » de ton site, soit du fait une redirection permanente du genre : toutes les urls de type /admin sont redirigées de manières permanente vers https://monserveur:443/admin, soit si tu as un sous domaine du type admin.monserveur, tu crées un hôte virtuel ne faisant que du https. Il y a pleins de docs là dessus…

Pour une utilisation personnelle, le certificat auto-signé n'est pas un problème.

Bonjour.
La box ←------→ un proxy parasite ←--------------→ le dslam
Le proxy peut casser le https, données en clair ou chiffrées, est ce bien utile de se retrouver avec des sites comme wikipedia en https ???

L'utilisation à outrance du https n'est-elle pas dangereuse vis-à-vis de l'anonymat ?
Le PHP inclue pleins de commandes comme MD5, SHA, et bien d'autres…
https n'est-il qu'une simplification pour automatiser le chiffrage ?

Pages : 1 2