Les sites en https gratuits ?

tiramiseb · Le 07/05/2015, à 13:11

Là le truc est assez simple : SSL et anonymat sont incompatibles.
Le but de SSL est de valider l'identité de l'entité avec qui on communique.
Bien évidemment, si l'entité veut être anonyme, elle ne peut pas faire valider son identité.

tiramiseb · Le 07/05/2015, à 17:13

impossible de monter son petit site a l'ancienne sans demander rien a personne comme avant

"comme avant" ? Quand il n'y avait pas SSL tu veux dire ?
Oui c'est normal. Si tu veux faire "comme avant" tu n'utilises pas SSL.

Tu peux utiliser Tor Hidden Service qui garanti de façon efficace que tu communiques avec la bonne personne

Oui mais :

https://www.torproject.org/docs/hidden-services.html.en a écrit :

Although it might seem impractical to use an automatically-generated service name, it serves an important goal: Everyone – including the introduction points, the distributed hash table directory, and of course the clients – can verify that they are talking to the right hidden service

... l'« identité » du service est assurée par autre chose : son nom qui est immuable et que tu ne peux pas choisir.

Tu as twitter? (pour pouvoir papoter en "privé")

Oui, avec le même pseudo. Mais je vois pas ce que ça apportera de plus.

PS: il faut aussi savoir que la sécurité numérique est une de mes passions

Moi c'est mon boulot. Entre autres.

Bob49 · Le 07/05/2015, à 17:15

Salut.............

voxdemonix a écrit :

Bob49 a écrit :
Salut
Il faut arrêter de raconter des conneries aussi énormes !! Si Firefox doit être prit sur sur un site officiel de chez mozilla où il ne contient aucun sywares, de préférence !
Les spyware dont je parle sont visible dans les variables GET des moteurs de recherches installé par défaut sur le firefox installé par défaut sur Ubuntu. Après tu peux parler sans vérifier, surement fais-tu partie des 99% de gens qui ne savent pas se qu'est une variable GET.

Tant fait pas pour moi, je sais ce que sais. Mais ce n'est pas pour cela que tous les navigateurs sont concernés.

voxdemonix a écrit :

Bob49 a écrit :
Et ne me répond pas que ça vient de Firefox, vu que cette adresse ne s'ouvrira pas avec d'autres navigateurs (Midori, Chromium, Chrome, Opera, etc...), car le certificat est périmé depuis le 20 février !! Donc entièrement normal que l'on puisse pas avoir accès à ce site.
Bref, revois ta copie pour la prochaine fois.
Débute le : 23/02/15
Expire le : 20/02/25
Si tu ne sais pas lire une date, je ne saurais rien faire pour toi

Dommage que j'ai pas enregistré les captures que je voulais faire hier soir !! Mais bon passons sur cette histoire de date.......... de toute façon, l'accès à l'adresse est vraiment impossible à partir des navigateurs que j'ai cité hier, donc ne dit pas que le problème vient d'un navigateur, alors que c'est un problème de certificat, c'est tout.

voxdemonix a écrit :

Tiramiseb, tu es le seul dans ce topic qui réponds technique (comme d'hab)

C'est pour cela qu'on le laisse, à chacun son domaine... mais ce n'est pas pour cela que l'on ne peut pas répondre à des énormités...

voxdemonix a écrit :

...Et je me sens insulté quand j'invite un pote et qu'il reste bloqué sur une page d'alerte alors que mon site a une meilleure note de sécurité que ma banque

Si ton site, c'est la fameuse adresse que tu nous as donné, tous tes potes utilisant n'importe quel navigateur doivent vraiment être emmerdés, vu qu'avec aucun de ceux-ci ça passe (au moins dans les plus réputés) !..

Dernière modification par Bob49 (Le 07/05/2015, à 20:47)

voxdemonix · Le 07/05/2015, à 20:58

Bob49 a écrit :

Salut.............

Bonjour

Bob49 a écrit :

voxdemonix a écrit :

Bob49 a écrit :
Salut
Il faut arrêter de raconter des conneries aussi énormes !! Si Firefox doit être prit sur sur un site officiel de chez mozilla où il ne contient aucun sywares, de préférence !
Les spyware dont je parle sont visible dans les variables GET des moteurs de recherches installé par défaut sur le firefox installé par défaut sur Ubuntu. Après tu peux parler sans vérifier, surement fais-tu partie des 99% de gens qui ne savent pas se qu'est une variable GET.
Tant fait pas pour moi, je sais ce que sais. Mais ce n'est pas pour cela que tous les navigateurs sont concernés.

voxdemonix a écrit :

(sur linuxfr on m'a fait remarqué que firefox sur Debian ne possède pas ses mouchards)

https://forum.ubuntu-fr.org/viewtopic.p … #p19765231

Bob49 a écrit :

voxdemonix a écrit :
...Et je me sens insulté quand j'invite un pote et qu'il reste bloqué sur une page d'alerte alors que mon site a une meilleure note de sécurité que ma banque
Si ton site, c'est la fameuse adresse que tu nous as donné, tous les potes utilisant n'importe quel navigateur doivent vraiment être emmerdés, vu qu'avec aucun de ceux-ci ça passe (au moins dans les plus réputés) !..

on en conclut donc que tu utilise ubuntu-fr.org en version non https. Si non, lors de ta première visite en https, tu aurais dû accepter exactement la même alerte de sécurité que sur le dit site que tu insultes(enfaite en pire vu qu'il faut accepter 2 certif pour ubuntu-fr). Tu as la même alertes de sécurité sur le site de tiramiseb soit dit en passant (j'ai visité tout a l'heure).

Pour ton histoire de screenshot bidule, si la date indiquée était autre, alors tu as croisé une boite Noire car la date de création du certif est indiqué dedans. (voir precedent)

tiramiseb a écrit :

Tu as twitter? (pour pouvoir papoter en "privé")
Oui, avec le même pseudo. Mais je vois pas ce que ça apportera de plus.

Je parlais a morgiver, j'ai déjà ton twitter si tu te rappel ^^

Dernière modification par voxdemonix (Le 07/05/2015, à 21:11)

Bob49 · Le 08/05/2015, à 10:00

Salut

voxdemonix a écrit :

on en conclut donc que tu utilise ubuntu-fr.org en version non https. Si non, lors de ta première visite en https, tu aurais dû accepter exactement la même alerte de sécurité que sur le dit site que tu insultes(enfaite en pire vu qu'il faut accepter 2 certif pour ubuntu-fr). Tu as la même alertes de sécurité sur le site de tiramiseb soit dit en passant (j'ai visité tout a l'heure).
Pour ton histoire de screenshot bidule, si la date indiquée était autre, alors tu as croisé une boite Noire car la date de création du certif est indiqué dedans. (voir précèdent)

Soit tu as une configuration à la con, soit tu fais toi même le con (sans vouloir de vexer ) !

En configuration de monsieur "tout le monde"...et oui, il faut être généraliste quand on fait de l’entraide, sinon avec les petits cas particuliers ou les bidouilles de certains, on en fini pas !..

Par défaut, le forum de ubuntu-fr.org est en Http et seulement quelques fois (parfois dans des résultats de recherches), il arrive d'avoir des pages en Https. Mais là, il suffit d'enlever le S de Https pour avoir accès à la page(et problème pas lié aux navigateurs, mais au site) , donc là il n'y à pas un problème de sécurité.
D'ailleurs vis-à-vis du forum, il y à les messages d'erreurs appraraissent de temps à autres avec n'importe quel navigateur.

Pour l'adresse du site de tiramiseb, quand je cliques sur l'adresse du son site depuis sa signature (adresse non Https) et je l'ai déjà fait depuis longtemps, par curiosité bien sur , je n'ai jamais eu de message d'erreur. Quelque soit le navigateur utilisé (ceux cités plus haut) et vérifier encore ce matin au moins une vingtaine de fois, après supprimés historique et vidé tout les caches entre chaque connexions y compris celui du système.

La différence entre l'adresse du site de tiramiseb que tu donnes, les problèmes liés aux quelques problèmes du forum.... et ton adresse (https://nebuleuse0rion.ddns.net/forum4/ … f=14&t=130), c'est que sur cette dernière, il y à un véritable blocage de sécurité et vouloir enlever le S ne donnera pas accès à celle-ci... Alors que les autres sites sont accéssibles et c'est le principale.

Un p'tit plus... lors que l'on tombe sur une pseudo page du forum en HttpS, l'erreur n'est pas liée à un certificat auto-signé, donc il ne faut pas comparrer ses problèmes avec le tient.

Dernière modification par Bob49 (Le 08/05/2015, à 10:09)

tiramiseb · Le 08/05/2015, à 10:08

Bob49: attention, voxdemonix évoque des aspects très techniques et toi tu ne parles que du ressenti utilisateur, aucunement technique.

La différence entre mon site et le site de voxdemonix, c'est que mon certificat est signé par une autorité de certification, c'est pourquoi il n'y a pas d'erreur, mon certificat n'est pas autosigné.

Toi ce que tu dis, c'et que sur Ubuntu-fr on peut passer sur une connexion non chiffrée pour ne plus avoir l'erreur. Ok, il n'y a plus cette erreur, mais du coup il n'y a plus aucun chiffrement.
Si voxdemonix ne veut pas que son site soit accessible sans chiffrement, je le comprends tout à fait.

Devoir "enlever le s" n'est pas du tout une solution : c'est un contournement qui revient à faire transiter des infos en clair.
C'est comme si un Mexicain disait « pour entrer aux USA, la clôture est trop haute, alors je passe par la douane ». Bah non, le Mexicain s'il veut escalader la clôture c'est qu'il ne veut pas que les douaniers le voient...

Par ailleurs, mon serveur web est moins bien noté que voxdemonix à ce niveau-là car il accepte des connexions moins sécurisées (anciennes versions de SSL). Faudrait que je m'y penche, c'est pas grand chose, j'ai juste eu la flemme jusqu'ici. Purement en terme de chiffrement, le serveur de voxdemonix est mieux configuré que le mien. Par contre le mien a un certificat correctement signé.

M'enfin je ne vois toujours pas ce qui gêne voxdemonix dans le fait de faire signer des certificats par une autorité.
D'ailleurs je ne suis même pas sûr qu'il soit nécessaire de donner une vraie identité, car le plus important dans la vérification c'est de prouver qu'on est bien admin du site visé : en général l'autorité de certification demande de placer un fichier bien précis dans l'arborescence web ou alors une config DNS, ou un truc dans le genre, pour valider qu'on est bien propriétaire du domaine visé. Mais la vérification de l'identité (avec pièce d'identité, etc) n'est pas systématique pour les validations de "premier niveau".

Dernière modification par tiramiseb (Le 08/05/2015, à 10:10)

Bob49 · Le 08/05/2015, à 10:21

tiramiseb a écrit :

La différence entre mon site et le site de voxdemonix, c'est que mon certificat est signé par une autorité de certification, c'est pourquoi il n'y a pas d'erreur, mon certificat n'est pas autosigné.

Justement, voxdemonix évoque tout de même un blocage avec ton site ! Les sujets du fil est tout de même lié aux auto-signés.

tiramiseb a écrit :

Bob49: attention, voxdemonix évoque des aspects très techniques et toi tu ne parles que du ressenti utilisateur, aucunement technique.

J'en suis pleinement conscient. Quoi que l'évocation de sa part vis-à-vis de ses accès aux adresses qu'il donne, c'est un ressenti d'utilisateur aussi et vu aussi qu'il dit être bloqué pour ton site (là j'aurais tendance à penser problème lié à la configuration du navigateur..)!... Alors que je n'arrive pas à avoir un seul blocage, ce qui me parait entièrement normal !

Bref, qu'il y est quelques problèmes avec le forum, ce qui n'empêche pas l'accès... avec son site, il y à un véritable problème... Bon j'arrête là pour le moment, car je me répètes.

Dernière modification par Bob49 (Le 08/05/2015, à 10:23)

tiramiseb · Le 08/05/2015, à 10:34

voxdemonix évoque tout de même un blocage avec ton site

Attention, il a donné le lien vers mon site professionnel en HTTPS.
Mon site professionnel n'a pas encore été configuré en HTTPS, il y a un certificat auto-signé. Comme chez lui.

voxdemonix: en parlant de mon site, on parle du site perso, https://www.maccagnoni.eu.
Regarde dans ma signature, le lien vers le site pro est en HTTP, pas en HTTPS.
Mon site perso n'a pas de problème de certificat.

Bref, qu'il y est quelques problèmes avec le forum, ce qui n'empêche pas l'accès... avec son site, il y à un véritable problème...

Je suis d'accord avec toi sur un point : le site de voxdemonix ne permet pas d'accès sans avoir à accepter un certificat autosigné dont on ne peut pas vérifier la validité. Sauf que mon raisonnement va dans l'autre sens : enlever le "S" n'est pas une solution acceptable, par contre voxdemonix devrait utiliser un certificat correctement signé.

Bob49 · Le 08/05/2015, à 10:47

tiramiseb a écrit :

voxdemonix évoque tout de même un blocage avec ton site
Attention, il a donné le lien vers mon site professionnel en HTTPS.
Mon site professionnel n'a pas encore été configuré en HTTPS, il y a un certificat auto-signé. Comme chez lui.
voxdemonix: en parlant de mon site, on parle du site perso, https://www.maccagnoni.eu.
Regarde dans ma signature, le lien vers le site pro est en HTTP, pas en HTTPS.
Mon site perso n'a pas de problème de certificat.

Ah non, il donne l'adresse https://www.smm-informatique.fr/ , quand il s'adresse à moi dans son dernier message !

Pour tes sites (et donc aussi ta signature), tu as loupé un passage de mon 1er message de ce matin... je connais tes sites les avoir visité à plusieurs reprises et depuis un bon bout de temps. Et je n'ai aucun message d'erreur avec les 2.

tiramiseb a écrit :

Sauf que mon raisonnement va dans l'autre sens : enlever le "S" n'est pas une solution acceptable, par contre voxdemonix devrait utiliser un certificat correctement signé.

De tout façon comme je l'ai évoqué plus haut, enlever le S à l'adresse de son site ne donne rien, d'où mon évocation d'un véritable problème...

Dernière modification par Bob49 (Le 08/05/2015, à 10:50)

tiramiseb · Le 08/05/2015, à 10:50

Ah non, il donne l'adresse https://www.smm-informatique.fr/ quand il s'adresse à moi

Oui, c'est ce que je voulais dire, la 2me partie s'adressant à voxdemonix, pour lui dire que toi et moi on parle de mon site perso, alors que lui a testé mon site pro, pour lequel je n'ai pas encore mis de certificat SSL correct (et pour lequel je n'ai jamais diffusé d'adresse en HTTPS ; il est le premier internaute à poster un lien vers mon site pro en HTTPS).

tiramiseb · Le 08/05/2015, à 10:51

(en plus, à une époque en HTTPS j'avais mis mon interface d'administration, on ne tombait pas du tout sur mon site pro, mais bon c'était vraiment pas propre, justement dans les cas où quelqu'un "par hasard" voudrait aller voir mon site en HTTPS)

voxdemonix · Le 08/05/2015, à 12:10

Bob49 a écrit :

De tout façon comme je l'ai évoqué plus haut, enlever le S à l'adresse de son site ne donne rien, d'où mon évocation d'un véritable problème...

Ce n'est pas un problème, j'ai consciemment désactivé http (via "RewriteEngine On" et "RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}") afin qu'on ne puisse visiter QUE en HTTPS. (et a la base le site n'était accessible que via Tor, le DNS n'est ouvert que pour rendre service a des personnes âgées pour qui Tor est un dieu nordique ^^)
Par contre, dans un de tes messages, tu déconseils d'utiliser httpS (se qui est stupide sur tout site utilisant un mécanisme d'inscription, tes login/pass se promènent en clair sur le réseau BoiteNoirien ^^) et tu as loupé la discution entre tiramiseb et moi où l'on mentionne que Mozzila va probablement généraliser l'alerte de sécurité a TOUT les sites en non-https

tiramiseb a écrit :

par contre voxdemonix devrait utiliser un certificat correctement signé.

donner des infos privé, beurk beurk beurk. Puis c'est un site privé, mon pauvre Raspberry Pi ne saurait jamais tenir le coups face a une invasion de français en quête d'anonymat ^^ Par conter si se que tu dis a propos de simplement placer un fichier a la racine, alors là c'est faisable, je n'aurais pas cette impression d'avoir encore offert mes infos perso

tiramiseb a écrit :

voxdemonix évoque tout de même un blocage avec ton site
Attention, il a donné le lien vers mon site professionnel en HTTPS.

une alerte de sécurité n'est pas un blocage. Blocage sous entends que tu ne peux pas cliquer sur "Ajouter une exception permanente"

tiramiseb a écrit :

Par ailleurs, mon serveur web est moins bien noté que voxdemonix à ce niveau-là car il accepte des connexions moins sécurisées (anciennes versions de SSL). Faudrait que je m'y penche, c'est pas grand chose, j'ai juste eu la flemme jusqu'ici. Purement en terme de chiffrement, le serveur de voxdemonix est mieux configuré que le mien. Par contre le mien a un certificat correctement signé.

Voici les infos qui m'ont permis de config le serveur sous apache2.2 ICI, j'aimerais rendre compatible le tutoriel avec apache2.4, si tu veux aider @Localhost si tu veux aider a rendre le tuto encore plus efficace (atteindre le A+) je suis preneur ^^

tiramiseb a écrit :

M'enfin je ne vois toujours pas ce qui gêne voxdemonix dans le fait de faire signer des certificats par une autorité.

Je n'ai rien contre ça, j'ai contre le fait que mozzila et co casse le web en ne chargeant pas le contenu sous prétexte qu'il utilise un certificat autosigné (comme pour https://forum.ubuntu-fr.org ). Je trouve tout a fait logique pour un site officiel de faire signer son certificat, mais pas pour l'auto-hébergement/internet des objets/cloud personnel/etc.

Bob49 a écrit :

Soit tu as une configuration à la con, soit tu fais toi même le con (sans vouloir de vexer ) !

Je ne suis point vexé (je vous aime tous ! )

Dernière modification par voxdemonix (Le 08/05/2015, à 12:18)

Morgiver · Le 08/05/2015, à 12:16

@voxdemonix :
Nope, j'ai pas Twitter.

@localhost :
C'est quoi le "Cipher" ?

tiramiseb · Le 08/05/2015, à 12:17

Localhost: oui, c'est exactement ce que j'ai dit.

Sur mon site perso, le certificat est parfait (barre verte). Par contre je n'ai pas peaufiné la configuration (barres jaunes), c'est ce que j'ai dit.
Mon site pro, quant à lui, n'a pas été fait pour être utilisé en SSL, c'est également ce que j'ai dit ; voxdemonix est le premier à avoir posté sur Internet une URL en "https" vers mon site pro.
Tu confirmes donc tout ce que j'ai écrit.

tiramiseb · Le 08/05/2015, à 12:30

j'ai consciemment désactivé http (via "RewriteEngine On" et "RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}") afin qu'on ne puisse visiter QUE en HTTPS.

Parfaitement d'accord avec toi, c'est la meilleure chose à faire : forcer le TLS.

donner des infos privé, beurk beurk beurk

Encore une fois, je ne suis pas sûr que ce soit nécessaire. Ce qui est indispensable, c'est bien sûr de prouver que tu es propriétaire du site ; mais à mon avis, si tu t'inscris chez StartSSL (par exemple) sous une fausse identité, ça ne les empêchera pas de te signer un certificat.

apache2.2 [...] apache2.4

J'utilise NginX.

Pour Apache 2.4 il faudrait que je me penche sur le truc, et là je n'ai ni le temps ni l'envie (peut-être un jour, qui sait...).
Et quand je n'ai ni le temps ni l'envie, la seule chose qui peut me motiver à le faire c'est le paiement d'une prestation

j'ai contre le fait que mozzila et co casse le web en ne chargeant pas le contenu sous prétexte qu'il utilise un certificat autosigné

Comme tu l'as expliqué, le problème est que le contenu est à une autre adresse. Et quand il charge un contenu, Firefox est pas foutu de mettre la même alerte "jaune" : on n'a cette alerte que si on accède directement au contenu, pas quand il est appelé d'une page déjà ouverte. Je suis d'accord avec toi, ça c'est nul.

Je trouve tout a fait logique pour un site officiel de faire signer son certificat, mais pas pour l'auto-hébergement/internet des objets/cloud personnel/etc.

Alors là je ne suis pas tout à fait d'accord.

Si c'est pour une communication entre toi-même et toi-même (cloud perso, objets, etc), OK de l'autosigné ça me va.
Par contre, si c'est pour communiquer à d'autres (site web autohébergé par exemple), il faut un certificat signé.

voxdemonix · Le 08/05/2015, à 12:50

Localhost a écrit :

@Morgiver Cipher est un algorithme de chiffrement

C'est aussi une expression pour signifier chiffrement/crypto (exemple CypherPunk associé au crypto-anarchisme)
https://fr.wikipedia.org/wiki/Cypherpunk

tiramiseb a écrit :

Sur mon site perso, le certificat est parfait (barre verte).

Note quand même que la barre "Key Exchange" est a zero (je ne sais plus sur quoi il base la note de ce truc)
https://www.ssllabs.com/ssltest/analyze … noni.eu%2F

PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

Dernière modification par voxdemonix (Le 08/05/2015, à 13:03)

tiramiseb · Le 08/05/2015, à 14:12

mais si un client intéressé par vos prestations contrôle la sécurité ssl de votre site ?

Oui je sais. Tu as parfaitement raison.
En fait, j'y pense et puis j'oublie...

la barre "Key Exchange" est a zero (je ne sais plus sur quoi il base la note de ce truc)

Ouais c'est une histoire de config aussi.
https://www.ssllabs.com/downloads/SSL_S … _Guide.pdf

Vous savez ce qu'on dit, les cordonniers sont les plus mal chaussés.
Mais vous allez me dire que ce n'est pas une excuse, je répondrai que vous avez parfaitement raison.

Faudrait juste que je m'y colle sérieusement pour faire quelque chose de vraiment bien. Pas juste 2 minutes à la va-vite.
Mais c'est pas toujours facile de se dégager du temps... Déjà que ça fait des mois que je voudrais refaire le site lui-même...

PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

Je ne saurais te dire précisément à quoi ça correspond, ça semble lié à un warning que le serveur web devrait émettre quand le client ne supporte pas SNI...
http://fr.wikipedia.org/wiki/Server_Name_Indication

C'est une fonctionnalité très récente de ce test, elle ne semble pas encore bien documentée.

Sur cette erreur liée à .net (donc a priori rien à voir avec la choucroute, mais en fait si un peu), le gars explique un truc lié à l'alerte SNI, maintenant je ne sais pas ce que ssllabs attend précisément pour que le truc soit valide.
http://blogs.msdn.com/b/fiddler/archive … rning.aspx

Compte anonymisé · Le 08/05/2015, à 15:44

voxdemonix a écrit :

PS: sur mon analyse j'ai un "Incorrect SNI alerts" quelqu'un sait a quoi ça correspond? ^^

À priori et d'après ce que j'ai compris en lisant http://fr.wikipedia.org/wiki/Server_Name_Indication vous n'êtes pas concerné par SNI étant donné que votre certificat est auto-signé et le client devra toujours <<accepter les risques>> puis ajouter l'exception quelqu'il en soit. (peut être concerné toutefois pour que le dit client ne fasse exception d'une seule fois du certificat si vous avez plusieurs noms de domaine avec ce même client..:)

Toujours d'après wikpédia, SNI permet de contourner le problème de plusieurs nom de domaine différents (plusieurs virtualhosts) devant être reconnus par un certificat commun sur un même serveur, ce qui reviendrait à l'équivalent d'un certificat distinct reconnu pour chaque virtualhost, donc pas de message d'alerte sur le navigateur client. (sous réserve que l'autorité est reconnue par le navigateur)

à vérifier.

Dernière modification par Compte anonymisé (Le 08/05/2015, à 15:57)

tiramiseb · Le 08/05/2015, à 15:48

Localhost: SNI et certificat autosigné ne sont pas incompatibles. On peut utiliser SNI avec plusieurs certificats autosignés.

Pour info, j'ai déjà donné le lien wikipedia 1h30 auparavant...

Pour ceux qui ont connu l'enfer des connexions HTTPS avant le SNI, son invention a été une énorme libération !

Compte anonymisé · Le 08/05/2015, à 15:54

tiramiseb a écrit :

Localhost: SNI et certificat autosigné ne sont pas incompatibles. On peut utiliser SNI avec plusieurs certificats autosignés.
Pour info, j'ai déjà donné le lien wikipedia 1h30 auparavant...
Pour ceux qui ont connu l'enfer des connexions HTTPS avant le SNI, son invention a été une énorme libération !

grillé! oui effectivement je viens d'éditer entre-temps mon message précédant pour rajouter ça:

<<(peut être concerné toutefois pour que le dit client ne fasse exception d'une seule fois du certificat si vous avez plusieurs nom de domaine avec ce même client..:)>>

Dernière modification par Compte anonymisé (Le 08/05/2015, à 15:55)

tiramiseb · Le 08/05/2015, à 15:56

Si on a un seul hôte virtuel configuré sur un serveur, ça n'empêche pas d'utiliser SNI

bruno · Le 08/05/2015, à 16:24

@localhost: Je n'ai pas lu la page Wikipedia, mais ce n'est pas tout a fait ça.

SNI permet de résoudre le problème d'un serveur avec une seule adresse IP hébergeant plusieurs domaines différents (toto.fr, tata.fr, etc. ayant forcément des certificats différents). Typiquement, avec Apache, plusieurs hôtes virtuels basés sur les noms.

Dans ce cas le souci c'est que le serveur ne sait qu'il doit utiliser l'hôte virtuel toto.fr que lorsque une requête vers toto.fr est faite. Or la requête vers toto.fr n'est connue qu'après avoir établi la connexion TLS (problème du serpent qui se mord la queue). Le serveur Apache établit donc la connexion TLS et sert le premier hôte virtuel par défaut pour l'adresse IP. Il est donc certain que l'un ou l'autre site sera servi avec le mauvais hôte virtuel (et donc le mauvais certificat).

SNI permet au client d'inclure la requête vers toto.fr lors de la « poignée de main » TLS. Apache sait donc immédiatement quel hôte virtuel utiliser et le problème ne se pose plus…
Sauf que tous les clients ne prennent pas en charge SNI (Internet Explorer sur XP, Andoid 2.3, IOS3, par exemple). Si on veut être compatible avec les anciens navigateurs ce n'est donc pas utilisable et il faut alors utiliser une IP différente (ou un port différent) pour chaque hôte virtuel.

Ce que je décrit n'est qu'une transcription approximative : de https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Dernière modification par bruno (Le 08/05/2015, à 16:28)

tiramiseb · Le 08/05/2015, à 16:29

bruno: je dois avouer que je n'ai pas essayé de comprendre précisément la tournure de phrase de Localhost, je n'ai pas réagi sur sa formulation...

Compte anonymisé · Le 08/05/2015, à 18:12

ok bruno, merci pour votre explication, cette extension SNI est telle spécifique à apache ? j'ai vu que le test maccagnoni.eu de notre ami tiramiseb indique

Incorrect SNI alerts -

comme si cette extension n'était pas installée sur son serveur, il l'a dans le baba pour ses éventuels multiples certificats ou SNI fonctionne nativement sur son nginx ?

je m'en retourne maintenant à mes onions de mon localhost, pas besoin de SNI sous Tor (avec les temps qui courent )

tiramiseb · Le 08/05/2015, à 19:17

Localhost: cette ligne ne concerne pas le support ou non de SNI mais une « alerte incorrecte », j'imagine pour quand le client n'utilise pas SNI. Mais sans précisions, ça ne pourra être que des suppositions.

SNI n'est pas spécifique à Apache et mon serveur NginX le supporte très bien : la preuve, j'ai des certificats différents sur plusieurs sites

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 07/05/2015, à 13:11

Re : Les sites en https gratuits ?

#27 Le 07/05/2015, à 17:13

Re : Les sites en https gratuits ?

#28 Le 07/05/2015, à 17:15

Re : Les sites en https gratuits ?

#29 Le 07/05/2015, à 20:58

Re : Les sites en https gratuits ?

#30 Le 08/05/2015, à 10:00

Re : Les sites en https gratuits ?

#31 Le 08/05/2015, à 10:08

Re : Les sites en https gratuits ?

#32 Le 08/05/2015, à 10:21

Re : Les sites en https gratuits ?

#33 Le 08/05/2015, à 10:34

Re : Les sites en https gratuits ?

#34 Le 08/05/2015, à 10:47

Re : Les sites en https gratuits ?

#35 Le 08/05/2015, à 10:50

Re : Les sites en https gratuits ?

#36 Le 08/05/2015, à 10:51

Re : Les sites en https gratuits ?

#37 Le 08/05/2015, à 12:10

Re : Les sites en https gratuits ?

#38 Le 08/05/2015, à 12:16

Re : Les sites en https gratuits ?

#39 Le 08/05/2015, à 12:17

Re : Les sites en https gratuits ?

#40 Le 08/05/2015, à 12:30

Re : Les sites en https gratuits ?

#41 Le 08/05/2015, à 12:50

Re : Les sites en https gratuits ?

#42 Le 08/05/2015, à 14:12

Re : Les sites en https gratuits ?

#43 Le 08/05/2015, à 15:44

Re : Les sites en https gratuits ?

#44 Le 08/05/2015, à 15:48

Re : Les sites en https gratuits ?

#45 Le 08/05/2015, à 15:54

Re : Les sites en https gratuits ?

#46 Le 08/05/2015, à 15:56

Re : Les sites en https gratuits ?

#47 Le 08/05/2015, à 16:24

Re : Les sites en https gratuits ?

#48 Le 08/05/2015, à 16:29

Re : Les sites en https gratuits ?

#49 Le 08/05/2015, à 18:12

Re : Les sites en https gratuits ?

#50 Le 08/05/2015, à 19:17

Re : Les sites en https gratuits ?

Pied de page des forums