Garantie sans connerie connue    —  Pierceb

Discussions

Passage du Lexpage en https

Guybrush 8343 Bob
Bonjour à tous,

En vue de se prémunir face aux chinois du FBI, et afin de pouvoir continuer à publier des Fake News cachés de tous, Lexpage va prochainement passer d'http à https. Plus sérieusement, cela fait un moment que c'est dans les cartons (les cartons d'idées, pas les cartons remplis d'implémentation :-D) notamment suite aux pressions (et je ne parle pas de celle en bas à droite du thème St Patrick) de roidelapluie, et celles de la plupart des navigateurs modernes qui petit à petit considèrent https comme étant la norme, et mettent de gros avertissements pour les sites qui n'en font pas un usage exclusif (notamment quand vous complétez un formulaire, les dernières versions de Firefox vous informe que vous risquez votre vie et celle de votre entourage en envoyant l'information. Quelque chose comme ça).

Les certificats permettant d'authentifier le serveur du Lexpage ont été obtenus (via Let's Encrypt, pour la petite histoire) et ont été ajoutés au serveur web. Il est déjà possible d'accéder à Lexpage en httpsvia, logique, www.lexpage.net mais l'usage d'https n'est pas forcé pour l'instant. Des tests ont été menés sur d'autres sites sur lesquels j'ai forcé https, et ça semble fonctionner (c'est déjà ça :-D) sans souci. On verra dans 3 mois quand la procédure de renouvellement des certificats va s'enclencher :-D

Demain, si tout va bien, je compte forcer l'usage d'une connexion sécurisée pour Lexpage. Dans la pratique, ça signifie que si vous tapez "http://www.lexpage.net", ou n'importe quelle adresse menant à Lexpage via http, et bien vous serez simplement redirigé vers la page correspondante en https. Oui, en pratique, l'opération devrait donc être totalement transparente pour vous, et il ne sera même pas nécessaire de mettre à jour vos bookmarks. On n'arrête pas le progrès. Pour vérifier que vous êtes sur une connexion sécurisée, on vous rappelle (mais vous, geeks, savez déjà tout ça) que ça se traduit par un petit cadenas vert à coté de la barre d'adresse.

Il reste cependant un point encore embêtant, que vous pouvez déjà constater si vous utilisez l'adresse www.lexpage.net : le site n'est pas totalement en https. En d'autres termes : le petit cadenas n'est pas vert, mais gris avec un joli warning dessus. La raison est simple : certaines ressources nécessaires pour le rendu de la page sont accédées encore via http, et donc des terroristes interdits de séjour aux États-Unis pourraient s'en servir pour lancer des bombes nucléaires depuis la Corée du Nord. Croyez-moi !! :-D
Ces ressources externes, ce sont essentiellement les avatars. Il y en a de deux types : ceux qui sont hébergés sur Lexpage (mais accédés via une url absolue, donc "externe") et ceux qui sont hébergés ailleurs. Dans les deux cas, je vais convertir les adresses pour qu'elles fassent usage d'https au lieu de http. Pour les avatars du Lexpage, ça marchera sans souci. Pour ceux qui sont hébergés ailleurs, par contre, ce sera du cas par cas. Si l'avatar reste accessible en https, alors c'est gagné. Si ce n'est pas le cas, soit je copierai l'avatar sur Lexpage et je changerai manuellement l'adresse enregistrée dans le profil concerné, soit par fainéantise, je ne ferai rien et vous aurez un joli "404" à la place, en espérant que cela vous motive à le changer ;-)
Sysson 1402 Spammeur
Merci, je me sens mieux maintenant! :approve:
PetitCalgon 2660 Bob
C'est tout neuf et ça marche déjà pas :bigsmile2:


Ce message a été modifié 1 fois. Dernière modification : 20 mars 2017 à 10:28 par PetitCalgon.

Tchou 3555 Bob
Parce que t'es un rebelz (je le suis aussi) qui milite contre la pollution visuelle du www devant un nom de domaine quand on y accède via http.

Le certificat n'est pas valide pour le nom de domaine sans www, mais avec www ça fonctionne.
Guybrush 8343 Bob
Tout comme pour la version http, j'ajouterai une redirection (permanente) de lexpage.net vers www.lexpage.net.

[Edit : j'ai quand même besoin d'un certificat pour lexpage.net sans www.... ^^]


Ce message a été modifié 1 fois. Dernière modification : 20 mars 2017 à 09:37 par Guybrush.

Sysson 1402 Spammeur
Ça ne changera rien cette redirection supplémentaire, ton certificat ne sera toujours pas valide sans le www donc on verra l'erreur avant d'être redirigés. Letsencrypt gère le multi domaines, fais lui simplement signer les deux sur le même certificat et roule ma poule!

[J'avais commencé à taper ce message avant de voir ton édit :bigsmile: ]


Ce message a été modifié 1 fois. Dernière modification : 20 mars 2017 à 10:00 par Sysson.

Guybrush 8343 Bob
Oui, j'ai ajouté le domaine sans "www" au certificat ;-)
Il faut que j'organise mes configurations nginx aussi afin de pouvoir gérer facilement du multi-certificat, parce que ça va vite devenir le bronx sinon :-D

Bon, j'ai passé les avatars du Lexpage en https, et pour les avatars externes qui étaient en http, j'ai simplement copié l'image dans les avatars du Lexpage, et j'ai mis l'url à jour. Normalement, le changement est donc totalement transparent :-)

Je nettoie mes configurations, puis je force https.
Guybrush 8343 Bob
Voilà. Bon, évidemment, vu qu'Anca a linké une image non-https sur cette page, c'est pas immédiatement visible que ça marche :-D
PetitCalgon 2660 Bob
Guybrushune image non-https sur cette page
Imgur supporte aussi le https. J'ai linké sur https et hop le cadenas est devenu vert. C'est pas un peu beau ? :bigsmile2:
Guybrush 8343 Bob
C'est magnifique :-p

Il faudrait que je trouve un moyen de pouvoir "tester" https avant http pour les ressources externes, et utiliser le premier si disponible, sinon le second. Le hic, c'est que je veux pas faire ça coté serveur (pour des raisons évidentes), et que je ne suis pas sûr que ça soit une bonne idée de faire ça systématiquement coté client (bien que, dans l'absolu, ça n'augmente pas le nombre de hits sauf pour les ressources qui n'existent pas en https)...

Répondre

Vous devez être inscrit et identifié.