https pour Asperansa ?

[freeshost]

Salut, la compagnie aspansaise,

Dites, depuis quelques jours, Firefox affiche un message dans les champs des identifiants et des mots de passes des sites "non sécurisés" (avec http au lieu de https), avec un lien pointant vers cette page d'explications (en anglais). Le forum Asperansa en est un exemple, parmi d'autres.

Si je tape https au lieu http, j'obtiens une petite fenêtre qui me demande cela :

Le site https://forum.asperansa.org demande un nom d’utilisateur et un mot de passe. Le site indique : « Zone d'administration privee »

Je suppose que c'est l'entrée vers l'administration du forum et du site.

Est-ce possible qu'Asperansa et autres sites se mettent à l'https ?

[Jean]

Question à poser dans le sujet "Questions au webmestre"

[Jean]

J'ai eu la flemme de chercher.

La discussion existe bien, mais elle est réservée aux modérateurs : http://forum.asperansa.org/viewtopic.php?f=17&t=4808

Je lui transmets.

[guillaume]

Apparemment, le soucis est en cours de résolution sur le serveur dédié, mais pas pour nous.
Peut-être qu'on mérite pas...
ps : http://lmgtfy.com/?q=rewrite+http+to+https

[Rem 82]

FH tu tente de pirater le panneau d'administration du forum ?

Pas bien !

Je plaisante !

Sérieusement parlant je n'ai pas rencontré de problème de ce côté la. Mais sur un autre forum j'ai eu un problème du genre "connexion non sécurisé" et ca avait un rapport si c'était en http ou https ... C'était pareil pour toi je présume ?

[guillaume]

C'est arrivée avec la mise à jour de Firefox 52 et Chrome a l'air de faire pareil (même si je n'ai pas testé, mais il parait que...)

edit : j'ai corrigé la version de firefox. J'ai du mal ce soir...

[moulagofre]

voilà...

[guillaume]

Tiens au fait, je pense très sincèrement que je pourrais apporter ma contribution constructive au débat en cours au sein de la modération.
Jean connais mes opinions, parfois très passionnées.
Mais vu que je ne serai pas décisionnaire, je peux juste expliquer les faits techniques, après vous faites ce que vous voulez.

PS : je sais que "ce n'est pas prévu" (au cas où ça serait la réponse), c'est bien pour ça que je demande.

[Admin]

Dites, depuis quelques jours, Firefox affiche un message dans les champs des identifiants et des mots de passes des sites "non sécurisés" (avec http au lieu de https), avec un lien pointant vers cette page d'explications (en anglais). Le forum Asperansa en est un exemple, parmi d'autres.

Si je tape https au lieu http, j'obtiens une petite fenêtre qui me demande cela :

Le site https://forum.asperansa.org demande un nom d’utilisateur et un mot de passe. Le site indique : « Zone d'administration privee »

Je suppose que c'est l'entrée vers l'administration du forum et du site.

Est-ce possible qu'Asperansa et autres sites se mettent à l'https ?

Bonjour.

Actuellement il n'y a pas d'espace spécifique pour le forum (et le site) en https. En tapant https://forum.asperansa.org/, vous ne feriez qu'arriver sur une page de test https que j'ai récemment ajoutée sur mon serveur, laquelle est, de fait, protégée par mot de passe.

Car de fait, surtout depuis la migration du serveur, j'ai quelques autres sites en https, en particulier mon propre site d'administration, car la version maintenant installée du serveur Apache permet de gérer cela beaucoup mieux que celle qu'il y avait avant.

Je pourrais effectivement mettre tout le forum en https, je le ferai peut-être, le principal souci est que ça implique d'obtenir un certificat SSL, or dans ce domaine, les seuls qui sont gratuits en ce moment (depuis la révocation de StartSSL pour une durée d'un an par presque tous les navigateurs pour cause de comportement frauduleux de leur part) sont ceux de Let's Encrypt qu'il faut renouveler tous les trois mois et qui ne sont pas reconnus par tous les systèmes d'exploitations (en particulier pas par les systèmes Android, qui répondent que le certificat n'est pas reconnu).

Quant au choix des certificats payants, on peut facilement atteindre la centaine d'euros par an (et peut-être par site) si on part dans cette direction.

Donc j'hésite encore un peu avant de faire cela, redoutant plus ou moins de me retrouver avec des utilisateurs qui auraient des problèmes de connexion pour cette seule raison.

Peut-être que je me contenterai au départ de juste dupliquer l'accès normal par l'accès https, laissant le choix de se connecter avec l'un ou avec l'autre.

[guillaume]

Une réponse très pro, merci.
Si la Wheezie te change de la Squeezie, attends de voir la Jessie.
Et encore, Stretch confirme le virage pris par Jessie. (mais il y a un paquet dédié au renouvellement automatique de certif let's encrypt).

Quand tu parles "d'espace spécifique", tu parles bien de VirtualHost ?
Donc ce que j'ai compris, tu as une page de test dans le DocumentRoot de ton adresse sur le 443 avec un certificat autosigné pour voir le comportement en TLS.

Bon, je comprends la position induite par les appareils androïd pas à jour.
Sauf que google a décidé que 2016 était l'année du https, et que 2017 sera l'année de la punition.
Autrement dit, le pagerank va dégringoler de plus en plus pour les pages en http.
Et une redirection 301 de http vers https va faire remonter tout ça.

Là, on est en plein entre théorie et pratique.
Les fabricants font des bidules à obsolescence programmée et on est en plein dedans.
Vu les enjeux, je ferais comme tu as dit : on choisit dans un premier temps, et la 301 dans le second et tant pis pour ceux qui ne sont pas à jour.

Parce qu'un pagerank qui dégringole, ça fait mal (et là dessus c'est avec plaisir que je donnerais un exemple très parlant au CA, à part que ça devient de plus en plus compliqué pour moi de venir en ce moment).

[freeshost]

Open SSL bientôt peut-être ?

Bon, je laisse les personnes expérimentées dans le domaine en discuter.

[Admin]

Bonjour.

Pour information, je viens de mettre en place des accès sécurisés en mode SSL.

• Pour le site, et
• Pour le forum.

Il n'y a pas de redirection pour le moment, l'accès non sécurisé reste disponible, mais ça pourrait éventuellement ne pas durer.

Merci de bien vouloir, en attendant, me rapporter tous les problèmes que vous pourriez rencontrer avec cette fonctionnalité.

Accessoirement, les accès en IPv6 que j'avais mis en place auparavant devraient marcher aussi : site et forum, seulement pour ceux qui disposent d'une connectivité de ce type (ce qui, par exemple, n'est pas encore le cas chez Orange, sauf avec les nouveaux accès fibre).

[freeshost]

Beau, le https semble fonctionner.

[Tugdual]

Il n'y a pas de redirection pour le moment, l'accès non sécurisé reste disponible, mais ça pourrait éventuellement ne pas durer.

Ça pourrait être intéressant de faire la redirection
pendant une journée, et voir les retours éventuels ...

Les soucis liés à Android ne sont-ils pas surévalués ?

[Salicorne]

Merci pour votre travail !

Il persiste toutefois un léger problème concernant les vidéos issues de Youtube : celles-ci ne s'affichent plus sur le forum en connexion https car les membres ont pris l'habitude de les poster avec le protocole http.

Il y a-t-il un moyen de corriger cette anomalie ?