L'odyssée des Champignons !!!
—
A-lex
Discussions
Passage du Lexpage en https
Bonjour à tous,
En vue de se prémunir face aux chinois du FBI, et afin de pouvoir continuer à publier des Fake News cachés de tous, Lexpage va prochainement passer d'http à https. Plus sérieusement, cela fait un moment que c'est dans les cartons (les cartons d'idées, pas les cartons remplis d'implémentation
) notamment suite aux pressions (et je ne parle pas de celle en bas à droite du thème St Patrick) de roidelapluie, et celles de la plupart des navigateurs modernes qui petit à petit considèrent https comme étant la norme, et mettent de gros avertissements pour les sites qui n'en font pas un usage exclusif (notamment quand vous complétez un formulaire, les dernières versions de Firefox vous informe que vous risquez votre vie et celle de votre entourage en envoyant l'information. Quelque chose comme ça).
Les certificats permettant d'authentifier le serveur du Lexpage ont été obtenus (via Let's Encrypt, pour la petite histoire) et ont été ajoutés au serveur web. Il est déjà possible d'accéder à Lexpage en httpsvia, logique, www.lexpage.net mais l'usage d'https n'est pas forcé pour l'instant. Des tests ont été menés sur d'autres sites sur lesquels j'ai forcé https, et ça semble fonctionner (c'est déjà ça) sans souci. On verra dans 3 mois quand la procédure de renouvellement des certificats va s'enclencher
Demain, si tout va bien, je compte forcer l'usage d'une connexion sécurisée pour Lexpage. Dans la pratique, ça signifie que si vous tapez "http://www.lexpage.net", ou n'importe quelle adresse menant à Lexpage via http, et bien vous serez simplement redirigé vers la page correspondante en https. Oui, en pratique, l'opération devrait donc être totalement transparente pour vous, et il ne sera même pas nécessaire de mettre à jour vos bookmarks. On n'arrête pas le progrès. Pour vérifier que vous êtes sur une connexion sécurisée, on vous rappelle (mais vous, geeks, savez déjà tout ça) que ça se traduit par un petit cadenas vert à coté de la barre d'adresse.
Il reste cependant un point encore embêtant, que vous pouvez déjà constater si vous utilisez l'adresse www.lexpage.net : le site n'est pas totalement en https. En d'autres termes : le petit cadenas n'est pas vert, mais gris avec un joli warning dessus. La raison est simple : certaines ressources nécessaires pour le rendu de la page sont accédées encore via http, et donc des terroristes interdits de séjour aux États-Unis pourraient s'en servir pour lancer des bombes nucléaires depuis la Corée du Nord. Croyez-moi !!
Ces ressources externes, ce sont essentiellement les avatars. Il y en a de deux types : ceux qui sont hébergés sur Lexpage (mais accédés via une url absolue, donc "externe") et ceux qui sont hébergés ailleurs. Dans les deux cas, je vais convertir les adresses pour qu'elles fassent usage d'https au lieu de http. Pour les avatars du Lexpage, ça marchera sans souci. Pour ceux qui sont hébergés ailleurs, par contre, ce sera du cas par cas. Si l'avatar reste accessible en https, alors c'est gagné. Si ce n'est pas le cas, soit je copierai l'avatar sur Lexpage et je changerai manuellement l'adresse enregistrée dans le profil concerné, soit par fainéantise, je ne ferai rien et vous aurez un joli "404" à la place, en espérant que cela vous motive à le changer
En vue de se prémunir face aux chinois du FBI, et afin de pouvoir continuer à publier des Fake News cachés de tous, Lexpage va prochainement passer d'http à https. Plus sérieusement, cela fait un moment que c'est dans les cartons (les cartons d'idées, pas les cartons remplis d'implémentation
) notamment suite aux pressions (et je ne parle pas de celle en bas à droite du thème St Patrick) de roidelapluie, et celles de la plupart des navigateurs modernes qui petit à petit considèrent https comme étant la norme, et mettent de gros avertissements pour les sites qui n'en font pas un usage exclusif (notamment quand vous complétez un formulaire, les dernières versions de Firefox vous informe que vous risquez votre vie et celle de votre entourage en envoyant l'information. Quelque chose comme ça). Les certificats permettant d'authentifier le serveur du Lexpage ont été obtenus (via Let's Encrypt, pour la petite histoire) et ont été ajoutés au serveur web. Il est déjà possible d'accéder à Lexpage en httpsvia, logique, www.lexpage.net mais l'usage d'https n'est pas forcé pour l'instant. Des tests ont été menés sur d'autres sites sur lesquels j'ai forcé https, et ça semble fonctionner (c'est déjà ça
) sans souci. On verra dans 3 mois quand la procédure de renouvellement des certificats va s'enclencher Demain, si tout va bien, je compte forcer l'usage d'une connexion sécurisée pour Lexpage. Dans la pratique, ça signifie que si vous tapez "http://www.lexpage.net", ou n'importe quelle adresse menant à Lexpage via http, et bien vous serez simplement redirigé vers la page correspondante en https. Oui, en pratique, l'opération devrait donc être totalement transparente pour vous, et il ne sera même pas nécessaire de mettre à jour vos bookmarks. On n'arrête pas le progrès. Pour vérifier que vous êtes sur une connexion sécurisée, on vous rappelle (mais vous, geeks, savez déjà tout ça) que ça se traduit par un petit cadenas vert à coté de la barre d'adresse.
Il reste cependant un point encore embêtant, que vous pouvez déjà constater si vous utilisez l'adresse www.lexpage.net : le site n'est pas totalement en https. En d'autres termes : le petit cadenas n'est pas vert, mais gris avec un joli warning dessus. La raison est simple : certaines ressources nécessaires pour le rendu de la page sont accédées encore via http, et donc des terroristes interdits de séjour aux États-Unis pourraient s'en servir pour lancer des bombes nucléaires depuis la Corée du Nord. Croyez-moi !!
Ces ressources externes, ce sont essentiellement les avatars. Il y en a de deux types : ceux qui sont hébergés sur Lexpage (mais accédés via une url absolue, donc "externe") et ceux qui sont hébergés ailleurs. Dans les deux cas, je vais convertir les adresses pour qu'elles fassent usage d'https au lieu de http. Pour les avatars du Lexpage, ça marchera sans souci. Pour ceux qui sont hébergés ailleurs, par contre, ce sera du cas par cas. Si l'avatar reste accessible en https, alors c'est gagné. Si ce n'est pas le cas, soit je copierai l'avatar sur Lexpage et je changerai manuellement l'adresse enregistrée dans le profil concerné, soit par fainéantise, je ne ferai rien et vous aurez un joli "404" à la place, en espérant que cela vous motive à le changer
C'est tout neuf et ça marche déjà pas 
Ce message a été modifié 1 fois.
Dernière modification : 20 mars 2017
à 10:28 par
PetitCalgon.
Ça ne changera rien cette redirection supplémentaire, ton certificat ne sera toujours pas valide sans le www donc on verra l'erreur avant d'être redirigés. Letsencrypt gère le multi domaines, fais lui simplement signer les deux sur le même certificat et roule ma poule!
[J'avais commencé à taper ce message avant de voir ton édit ]
[J'avais commencé à taper ce message avant de voir ton édit
]
Ce message a été modifié 1 fois.
Dernière modification : 20 mars 2017
à 10:00 par
Sysson.
Oui, j'ai ajouté le domaine sans "www" au certificat
Il faut que j'organise mes configurations nginx aussi afin de pouvoir gérer facilement du multi-certificat, parce que ça va vite devenir le bronx sinon
Bon, j'ai passé les avatars du Lexpage en https, et pour les avatars externes qui étaient en http, j'ai simplement copié l'image dans les avatars du Lexpage, et j'ai mis l'url à jour. Normalement, le changement est donc totalement transparent
Je nettoie mes configurations, puis je force https.
Il faut que j'organise mes configurations nginx aussi afin de pouvoir gérer facilement du multi-certificat, parce que ça va vite devenir le bronx sinon
Bon, j'ai passé les avatars du Lexpage en https, et pour les avatars externes qui étaient en http, j'ai simplement copié l'image dans les avatars du Lexpage, et j'ai mis l'url à jour. Normalement, le changement est donc totalement transparent
Je nettoie mes configurations, puis je force https.
Voilà. Bon, évidemment, vu qu'Anca a linké une image non-https sur cette page, c'est pas immédiatement visible que ça marche
Guybrushune image non-https sur cette pageImgur supporte aussi le https. J'ai linké sur https et hop le cadenas est devenu vert. C'est pas un peu beau ?
C'est magnifique 
Il faudrait que je trouve un moyen de pouvoir "tester" https avant http pour les ressources externes, et utiliser le premier si disponible, sinon le second. Le hic, c'est que je veux pas faire ça coté serveur (pour des raisons évidentes), et que je ne suis pas sûr que ça soit une bonne idée de faire ça systématiquement coté client (bien que, dans l'absolu, ça n'augmente pas le nombre de hits sauf pour les ressources qui n'existent pas en https)...
Il faudrait que je trouve un moyen de pouvoir "tester" https avant http pour les ressources externes, et utiliser le premier si disponible, sinon le second. Le hic, c'est que je veux pas faire ça coté serveur (pour des raisons évidentes), et que je ne suis pas sûr que ça soit une bonne idée de faire ça systématiquement coté client (bien que, dans l'absolu, ça n'augmente pas le nombre de hits sauf pour les ressources qui n'existent pas en https)...