apache2 - ssl - auto-signe - joomla refuse de se lancer en SSL

ladsy · Le 29/12/2016, à 16:07

Bonjour,
Je ne suis pas un pro de la réalisation de site web, mais en bon geek, j'ai pris l'engagement d'un faire un à titre gracieux pour une association dont je fais partie. Je me suis dit qu'un petit joomla ferait l'affaire et ... j'ai commencé en ne me doutant que du tiers des merdes que j'aurai logiquement à essuyer ...
J'ai créé une machine virtuelle Ubuntu Server 16.04.1 avec un serveur Apache2 et MySQL installés par défaut.
La configuration réseau a deux cartes
- Acces par pont via enp2s0 d'IP 192.168.1.21 (ainsi la machine guest peut se mettre à jour sur internet).
- Réseau privé hôte vboxnet0 d'iIP 192.168.100.199 (du firefox de l'hôte, je tape sur cette IP pour accéder au site hébergé par la machine guest)

J'ai paramétré mon /etc/hosts (guest et hôte) pour que l'IP 192.168.100.199 corresponde aux URL monsite.fr et www.jaimemonsite.fr ... ainsi, quand je tape http://www.jaimemonsite.fr, j'ai bien accès à mon site web hébergé.

Sur le serveur Apache2, j'ai installé un site web en Joomla (Joomla_3.6.5-Stable-Full_Package_French_v1.zip du site de Joomla par défaut).

Je peux paramétrer cestmonsite avec l'URL http://www.jaimemonsite.fr/administrator (mode admin de Joomla), accéder à http://www.jaimemonsite.fr/phpmyadmin, et même https://www.jaimemonsite.fr:10000 (il y a un petit webmin installé).

J'aimerai que mon site web soit accédé en SSL autant en administration qu'en utilisation.
J'ai testé pas mal de solutions, par exemple, ici les tests que j'ai fait :

ls -lart
total 20
drwxrwxr-x 5 admlho admlho 4096 déc.  28 21:03 ./
drwxr-xr-x 4 admlho admlho 4096 déc.  28 21:03 ../
drwxrwxr-x 2 admlho admlho 4096 déc.  28 23:36 AutoSigne/
drwxr-xr-x 2 admlho admlho 4096 déc.  28 22:04 LetsEncrypt/
drwxrwxr-x 2 admlho admlho 4096 déc.  28 21:57 Trustico/

Donc, j'ai tenté :
- de créer un certificat auto-signé à la dure depuis le serveur Ubuntu Mate (j'ai regardé pas mal d'url ubuntu-fr Certificat, tuto d'installation sur le forum Ubuntu-fr)
- de créer un certificat auto-signé par l'URL fournie par Trustico
- de créer un certificat par l'outil fourni par /etc/letsencrypt : hé hé, là je me suis cassé les dents car il faut une vérification DNS-1 vers ma machine virtuelle et que ma machine virtuelle n'est pas accessible depuis le NET ....... mais je ne veux pas qu'elle soit accessible depuis le net, donc, si j'ai bien compris ... on oublie letsencrypt et on passe en auto-signé

J'ai paramétré une redirection de tout flux http vers https.
Aussi, quand je tape http: //www.jaimemonsite.fr, et bien firefox affiche tout de suite https: //www.jaimemonsite.fr.

Donc ... avec mes deux certificats auto-signés (celui créé à la main sur le serveur) et celui créé par Trustico, j'ai du SSL sur mon serveur.

Sauf que ..................

Déjà, mon firefox (chrome aussi d'ailleurs), me demande de valider mon certificat ...

La connexion n’est pas sécurisée
Les propriétaires de www.jaimemonsite.fr ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web.
En savoir plus…
Signaler les erreurs similaires pour aider Mozilla à identifier et bloquer les sites malveillants
www.cestmonsite.fr uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
The certificate is not valid for the name www.jaimemonsite.fr.
Error code: SEC_ERROR_UNKNOWN_ISSUER
Bouton : [b]Ajouter une exception[/b]

L'apect positif, c'est que çà trouve qu'il y a du SSL sur mon serveur Apache ...et si j'ajoute l'exception pour ce site en SSL, je peux surfer dessus comme tout site web sécurisé ... Mais :

Le cadenas n'est pas vert comme on trouve proprement sur le site de ubuntu-fr (enfin c'est ce que je vois en ce moment même), mais gris avec un triangle jaune : donc sécurité à moitié faite.
Si je tente de mettre un site web autoporteur très simple telle une page index.html de type tiddlywiki plutôt que joomla (je relinke via ln -s /var/www/html /var/www/tiddlywiki/index.html ), j'ai le même comportement de firefox que via un site web complex tel Joomla
Champignon vénéneux sur le gâteau de bouse de vache : si en mode d'administraiton, je tente de dire à Joomla de passer en HTTPS via Menu / Système / Configuration / Serveur / Forcer HTTPS ....

Je me retrouve avec le message d'insulte :

Alerte
HTTPS has not been enabled as it is not available on this server.

Et là, c'est le drame !

Non seulement, je n'arrive pas à simuler une navigation sécurisée de façon transparente pour mon utilisateur (moi je peux dire à Firefox d'accepter un certificat auto-signé, mais un jour il faudra bien que l'utilisateur lambda et aussi néophyte que ma mère surfe sur mon site web et ne remarque même pas qu'il y a surf en https ... donc il me faut le cadenas vert un jour ou l'autre.
Admettons que j'aurais ce cadenas vert quand je porterai le site web sur un vrai hébergeur (OVH par exemple), et que le certificat sera signé proprement ... aujourd'hui, c'est un peu moins grave.

Mais surtout ... Mon Joomla refuse de passer en HTTPS alors que j'ai fait tout ce qu'il fallait pour sécuriser mon serveur Apache2 !!!
J'ai même forcé une redirection HTTP vers HTTPS ... donc c'est sécurisé. Alors pourquoi ? Qu'est-ce qui m'a échapé ?

Merci pour vos lumières

Dernière modification par ladsy (Le 29/12/2016, à 16:17)

mazarini · Le 29/12/2016, à 17:49

N'importe qui peut faire un certificat auto-signé pour n'importe quel nom de domaine. C'est donc normale que Firefox le refuse sans ajout d'une exception.

Edit : Voir https://issues.joomla.org/tracker/joomla-cms/9584 pour le problème joomla.
De ce que j'ai compris, peut être qu'il faut installer ssl plutôt que tls (à moins que ce soit le contraire)

Dernière modification par mazarini (Le 29/12/2016, à 18:02)

ladsy · Le 30/12/2016, à 01:20

Bonjour,
Merci pour te pencher sur mon problème

mazarini a écrit :

N'importe qui peut faire un certificat auto-signé pour n'importe quel nom de domaine. C'est donc normale que Firefox le refuse sans ajout d'une exception.

Je m'en doutais bien un peu ... mais j'espérais.
A la limite, ce n'est pas trop le plus grave pour le moment. Plus tard, j'aurai sûrement un certficat valide de la part de l'hébergeur.

mazarini a écrit :

De ce que j'ai compris, peut être qu'il faut installer ssl plutôt que tls (à moins que ce soit le contraire)

C'est bien TLS et la méthode donnée sur la page dédiée de ubuntu-fr produit bien un certificat SSL.
Du coup, j'ai trouvé une autre méthode ... toujours sur le site de ubuntu-fr, mais cette fois sur la page open-ldap.
Et là, j'ai obtenu un beau certificat TLS chiffré en 3072 bits
Si je n'ai pas encore trouvé complètement, ta remarque m'aura été bien utile et m'aura poussé à chercher un peu plus loin, merci

mazarini a écrit :

Edit : Voir https://issues.joomla.org/tracker/joomla-cms/9584 pour le problème joomla.

En effet, ton lien m'a bien donné une astuce ...

cat /var/www/web/html/configuration.php | grep force
	public $force_ssl = '2';

service apache2 restart

2 pour le site et la composante administration emploient le SSL
0 pour aucun emploi du SSL
1 pour seul l'administration emploie du SSL

Sauf que ... dès qu'on a le malheur de changer via le site web, et bien il revient à son défaut initial et refuse de reconnaître le certificat ...
Du coup, je me toujours pose des questions sur l'utilité de cette valeur et si j'ai proprement installé un certificat SSL ...

Edit ... j'aurai dû pousser d'une URL ton lien et notamment celle-ci :
https://issues.joomla.org/tracker/joomla-cms/11735
Il semble que ce soit un bogue spécifique à Apache ... et une solution de contournement a été proposée (modification d'un fichier application.php).
Je ne suis pas certain de bien comprendre où il faut mettre le patch mais après plusieurs tests:.... toujours le même problème.
A la limite, dès lors que c'est un bogue connu et que mon site n'est pas en production...
Case closed et je retourne à mes développements.

Dernière modification par ladsy (Le 30/12/2016, à 01:36)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 29/12/2016, à 16:07

apache2 - ssl - auto-signe - joomla refuse de se lancer en SSL

#2 Le 29/12/2016, à 17:49

Re : apache2 - ssl - auto-signe - joomla refuse de se lancer en SSL

#3 Le 30/12/2016, à 01:20

Re : apache2 - ssl - auto-signe - joomla refuse de se lancer en SSL

Pied de page des forums