Problème de sécurité.

[Bubu]

Depuis quelques temps, j'ai un message comme quoi ma connexion au site n'est pas sécurisée.
Concrètement, le https est barré, avec une icône d'alerte.
Je ne sais pas comment régler ça.
Soit j'ai une saloperie sur mon mobile, soit ça vient du site.

Que faire ?
Merci d'avance.

[freeshost]

C'est Firefox qui encourage à ajouter le s.

Voilà donc.

[Admin]

Depuis quelques temps, j'ai un message comme quoi ma connexion au site n'est pas sécurisée.
Concrètement, le https est barré, avec une icône d'alerte.
Je ne sais pas comment régler ça.
Soit j'ai une saloperie sur mon mobile, soit ça vient du site.

Que faire ?
Merci d'avance.

Bonjour.

Il n'y a rien d'anormal, là.

Depuis plus de 20 ans (en France), presque tous les sites web fonctionnent dans ce mode qu'on appelle maintenant « non sécurisé », alors qu'il y a un mode « sécurisé » (qui crypte le contenu des échanges) qui existe aussi, mais qui était surtout utilisé jusqu'à présent par les sites considérés comme sensibles (banques, grosses entreprises, etc).

Il se trouve maintenant que les grands acteurs du web voudraient qu'on passe tous en mode sécurisé, alors ils ont commencé à modifier les navigateurs internet (via leurs mises à jour) pour y ajouter des avertissements dans ce sens sur tous les sites web qui ne fonctionnent pas dans ce mode, bien qu'il n'y ait en réalité aucun changement par rapport à ce qui existait avant.

Une autre « sanction » apparemment prévue est que les sites web non sécurisés vont probablement être de moins en moins faciles à trouver avec les moteurs de recherche comme Google.

En ce qui concerne Asperansa, il se trouve que depuis quelques semaines j'ai commencé à ajouter le mode sécurisé au site et au forum, sans pour autant (pour le moment) l'imposer.
Mais vous pouvez y avoir accès en ajoutant « https:// » (au lieu de « http:// », en mode normal, ce dernier préfixe étant maintenant généralement masqué dans les navigateurs récents) devant l'adresse du site ou du forum, ce qui donne ceci :

• https://www.asperansa.org/
• https://forum.asperansa.org/

Ce n'est pas encore parfait, il peut y avoir quelques problèmes notamment quand des images ou certains documents sont inclus dans les pages si ces éléments ne sont pas eux-même également sécurisés. Et si vous cliquez sur un lien qui pointe vers une autre partie du forum ou du site, celui-ci n'ayant pas encore été modifié, vous avez toutes les chances de ne plus être en mode sécurisé à partir de là.

Une redirection palliant à la plupart de ces problèmes sera vraisemblablement appliquée plus tard.

[Bubu]

Depuis la dernière maj de Chrome pour Android, le site est devenu carrément impraticable : fenêtre d'alerte de sécurité qui s'ouvre maintenant carrément à chaque changement de page. Et qui demande confirmation à chaque fois.
Et je ne veux pas changer de navigateur à cause de ça.
S'il y a un paramétrage possible le rendant moins parano, je suis tout ouïe.
En attendant que vous puissiez faire quelque chose pour éliminer ce problème devenu carrément envahissant.
Merci.


La seule solution, ou plutôt bidouille qui permet d'utiliser le site normalement, est de mettre http au lieu de https dès la première requête. Les changements de page gardant le http. Mais bon

@fh : j'utilise Chrome sur mon mobile.... Merci quand même.
Sur ordi, j'utilise Firefox et je n'ai au contraire aucun problème de ce genre. Seule différence, le petit cadenas vert avant l'adresse maintenant.

@admin : c'est le contraire : il faut enlever le s. Donc remplacer ce https considéré comme erroné par un simple http.

C'est depuis que le http a été remplacé par https si je ne me trompe pas.

Je précise que c'est le seul site qui me fait ça.
Même des sites sécurisés comme celui de ma banque ne me font pas ça. C'est d'ailleurs la première fois de ma vie que j'ai ce problème.

En gros Chrome me harcèle en me redirigeant vers une page d'erreur à chaque action sur le site n'étant pas sécurisé malgré le https selon lui.


Je suis sous Android, mode développeur activé, déboguage USB activé. Selon Avast, je n'ai pas de saletés sur ma machine qui n'a même pas une semaine. Neuve, donc.

Je peux passer par l'ordi, via Android Studio, pour faire une capture d'écran si nécessaire.

La voici :[attachment=0]Capture d’écran (11).png[/attachment]

[Bubu]

Même en allant dans les paramètres avancés pour ignorer l'erreur et continuer sur le site, ça recommence à chaque changement de page. Rendant donc le site impraticable.
Merci de laisser encore l'accès non sécurisé en http tout court.

[Bubu]

Bon, toujours le même problème sur ce site ....
Voici un screenshot des paramètres avancés :

device-2017-04-29-162006.png

Que je sois en navigation privée, que je passe par la Wifi ou la 4G, c'est pareil.
J'ai vérifié sur ma box, il n'y a que moi de connecté dessus.

Et je n'ai pas cette erreur sur mon ordi, j'utilise https sans problème.
Sur mobile, je suis quasiment toujours en https, et seul ce site pose ce problème.
Donc pour ce site en particulier, je passe par http.

Sur mobile, l'OS est Android 6.0 (API 23)
Et Chrome est automatiquement mis à jour.

[Admin]

Bon, toujours le même problème sur ce site ....
Voici un screenshot des paramètres avancés :

device-2017-04-29-162006.png

Que je sois en navigation privée, que je passe par la Wifi ou la 4G, c'est pareil.
J'ai vérifié sur ma box, il n'y a que moi de connecté dessus.

Et je n'ai pas cette erreur sur mon ordi, j'utilise https sans problème.
Sur mobile, je suis quasiment toujours en https, et seul ce site pose ce problème.
Donc pour ce site en particulier, je passe par http.

Sur mobile, l'OS est Android 6.0 (API 23)
Et Chrome est automatiquement mis à jour.

Problème connu.

L'autorité de certification Let's Encrypt n'est pas reconnue par les mobiles sous Android.

C'est pour ça qu'on n'a pas encore imposé le mode sécurisé.

Mais de toutes façons, vous devez pouvoir ajouter une exception de sécurité pour accéder quand même au forum.

[Bubu]

Alors pourquoi seul ce site, parmi tous ceux qui l'utilisent, pose problème ?
J'ai regardé sur différents forums parlant de ce problème et la réponse est toujours la même :
Let's Encrypt est totalement fonctionnel sous Android, c'est la configuration du serveur qui est mauvaise.
De plus, il est hors de question que je crée volontairement​ une faille sur mon système en créant une exception de sécurité rien que pour ce site.

[Admin]

De plus, il est hors de question que je crée volontairement​ une faille sur mon système en créant une exception de sécurité rien que pour ce site.

Ajouter une exception de sécurité ne crée en rien une faille sur votre système.

Tout ce que ça fait, c'est de dire à votre navigateur que vous savez que le site sur lequel vous vous connectez n'est pas un site frauduleux, et que vous pouvez en afficher le contenu en toute confiance.
Et cela ne concerne que ce site en particulier, aucun autre n'est affecté par cette exception.

Et en réalité, de ce point de vue, l'effet d'ajouter cette exception diffère peu du fait de vous connecter en mode http:// plutôt qu'en mode https:// : dans le second cas vous dites que vous souhaitez ne pas tenir compte du contrôle de sécurité pour ce site, et dans le premier vous ne l'utilisez pas du tout, ce qui est en quelque sorte une autre manière de faire une exception au mode sécurisé.

Mais le contenu affiché, lui, est strictement le même, et réfère aux mêmes fichiers sur le serveur.

Sachant tout de même que le mode non sécurisé était le seul disponible jusqu'à il y a quelques semaines, et ce depuis la création du forum, en septembre 2005. Et une majorité de sites web reste toujours dans ce cas, même si c'est de plus en plus déconseillé (d'où l'ajout du mode sécurisé ici).

Reste quand même qu'une connexion sécurisée, même « avec exception », transmettra tout de même le contenu de manière cryptée, alors qu'avec une connexion non sécurisée, les mots de passe sont transmis en clair, et donc un intermédiaire (qui ferait de la capture de paquets sur le réseau, par exemple) pourrait éventuellement les voir.

Pour le reste, je vais chercher davantage, il y a peut-être quelque chose que je peux essayer, mais je ne sais pas si ça va marcher.

[Bubu]

De plus, il est hors de question que je crée volontairement​ une faille sur mon système en créant une exception de sécurité rien que pour ce site.

Ajouter une exception de sécurité ne crée en rien une faille sur votre système.

Tout ce que ça fait, c'est de dire à votre navigateur que vous savez que le site sur lequel vous vous connectez n'est pas un site frauduleux, et que vous pouvez en afficher le contenu en toute confiance.
Et cela ne concerne que ce site en particulier, aucun autre n'est affecté par cette exception.

Et en réalité, de ce point de vue, l'effet d'ajouter cette exception diffère peu du fait de vous connecter en mode http:// plutôt qu'en mode https:// : dans le second cas vous dites que vous souhaitez ne pas tenir compte du contrôle de sécurité pour ce site, et dans le premier vous ne l'utilisez pas du tout, ce qui est en quelque sorte une autre manière de faire une exception au mode sécurisé.

Mais le contenu affiché, lui, est strictement le même, et réfère aux mêmes fichiers sur le serveur.

Sachant tout de même que le mode non sécurisé était le seul disponible jusqu'à il y a quelques semaines, et ce depuis la création du forum, en septembre 2005. Et une majorité de sites web reste toujours dans ce cas, même si c'est de plus en plus déconseillé (d'où l'ajout du mode sécurisé ici).

Reste quand même qu'une connexion sécurisée, même « avec exception », transmettra tout de même le contenu de manière cryptée, alors qu'avec une connexion non sécurisée, les mots de passe sont transmis en clair, et donc un intermédiaire (qui ferait de la capture de paquets sur le réseau, par exemple) pourrait éventuellement les voir.

Pour le reste, je vais chercher davantage, il y a peut-être quelque chose que je peux essayer, mais je ne sais pas si ça va marcher.

Bonjour et merci pour votre réponse.
Cela ne me permettrait pas de savoir si quelqu'un essaie réellement de hacker mon compte sur le site ou non ....

https://community.letsencrypt.org/t/and ... cate/16498

Mais c'est vrai qu'au vu du nombre de sujets sur la question, ça n'a pas l'air d'être une mince affaire...
Merci.

[Admin]

Cela ne me permettrait pas de savoir si quelqu'un essaie réellement de hacker mon compte sur le site ou non ....

En mode http:// non plus, alors.

Reste que ça devrait quand même être plus difficile en mode https:// « avec exception » qu'en mode http://, puisque dans le premier cas, les données sont quand même cryptées.

[Admin]

Je viens de tenter une modification, mais je ne sais pas trop si ça va marcher, et éventuellement si ça va marcher pour tout le monde.

Est-ce que quelqu'un qui utilise Android peut me dire s'il y a un changement au niveau de l'accessibilité du forum en mode https:// ?
(note : ceci peut nécessiter de devoir éventuellement retirer une exception de sécurité déjà ajoutée, chose apparemment pas simple avec Firefox sous Android notamment ; il faudra peut-être en passer par ici)

[Bubu]

Je viens de tenter une modification, mais je ne sais pas trop si ça va marcher, et éventuellement si ça va marcher pour tout le monde.

Est-ce que quelqu'un qui utilise Android peut me dire s'il y a un changement au niveau de l'accessibilité du forum en mode https:// ?
(note : ceci peut nécessiter de devoir éventuellement retirer une exception de sécurité déjà ajoutée, chose apparemment pas simple avec Firefox sous Android notamment ; il faudra peut-être en passer par ici)

Oui ça fonctionne parfaitement sans aucune autre manipulation !

device-2017-04-30-111236.png

Et merci !

[patic]

_deleted_

[Bubu]

@patic :
Nos réponses se sont croisées apparemment....
Problème résolu je crois !