Auteur Sujet: Les erreurs à ne pas faire quand on bascule son site en https  (Lu 6954 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #12 le: 26 mars 2017 à 01:29:00 »
Il faut remercier Google Chrome : Depuis la sortie de Google Chrome 50 (sortie le 20 avril 2016), l’API HTML5 de géolocalisation est réservée aux pages en https, ce qui a poussé l'ARCEP a passer le site monreseaumobile.fr en https, pour bénéficier de la géolocalisation.

Oui on a parlé :
Intent to deprecate: Insecure usage of powerful features

We want to start applying the concepts in https://w3c.github.io/webappsec/specs/powerfulfeatures/ to features that have already shipped and which do not meet the (new, not present at the time) requirements. We want to start by requiring secure origins for these existing features:

- Device motion / orientation
- EME
- Fullscreen
- Geolocation
- getUserMedia

As with gradually marking HTTP as non-secure (https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure), we expect to gradually migrate these features to secure-only, based on thresholds of usage, starting with lowest usage and moving towards higher. We also expect to gradually indicate in the UX that the features are deprecated for non-secure origins.

The deprecation strategy for each of these features is not decided on and may very well differ from feature to feature. We don’t currently know what the thresholds will be, or how heavily used the features are on what kinds of origins. We are in the process of gathering data, and will report back when we have it. There are no firm plans at all at this time, other than eventual deprecation. We intend for this to stimulate a public discussion of the best way to approach this deprecation. So, to that point, we'd love to hear what the community thinks.

Thanks,
   Joel Weinberger, Chrome Security

https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/2LXKVWYkOus/gT-ZamfwAKsJ

Pour Firefox, le blocage de la géolocalisation des sites en http se fera avec Firefox 55, qui est prévu pour le 8 août 2017.
Sur ce coup là Firefox est en retard.

Par contre Firefox arrive avant Chrome, pour les messages d’alertes quand on remplit des données sur un site non https :

Le message d'alerte apparaît sur chaque champ en http:

Message pour les données de formulaire qui sont souvent banales mais rien pour les API qui peuvent donner accès à la caméra?

Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?
Bloquer les moteurs de recherche qui ne sont pas en HTTP?

Je n'y crois pas une seconde. Ce serait clairement excessif. Pourquoi pas bloquer tous les sites HTTP, pendant qu'on y est?

vivien

  • Administrateur
  • *
  • Messages: 29 148
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #13 le: 26 mars 2017 à 14:38:04 »
Tant que je suis dans les optimisations à faire sur le site de l'ARCEP : Arrêter d'utiliser des crochets dans les URL !

De nombreux articles ne sont pas correctement sourcés a cause de ces URL, refusés par de nombreux sites.
Cela fait donc baisser le référencement du site de l'ARCEP sur Google (tout comme le fait de ne pas avoir de https au passage)

Sur ce forum, voici le tutoriel, ce n'est pas simple : Tutoriel pour poster une URL avec des crochets

corrector

  • Invité
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #14 le: 26 mars 2017 à 16:47:30 »
Bref, l'ARCEP a un des plus mauvais sites par rapport aux normes du Web!
« Modifié: 26 mars 2017 à 18:31:00 par corrector »

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 204
  • FTTH 1Gb/s sur Paris (75)

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 1 972
    • Ukrainian Resilient Data Network
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #16 le: 26 mars 2017 à 21:11:54 »
En plus de chier avec le https ils ne connaissent pas l'IPv6 et leur page charge plein de merdes d'autres sites notamment google-analytics.com. Donc chiffrer le trafic pour en meme temps envoyer toutes les informations possibles de ses visiteurs a google ca sert pas a grand chose...
« Modifié: 26 mars 2017 à 22:17:21 par cali »

vivien

  • Administrateur
  • *
  • Messages: 29 148
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #17 le: 30 mai 2017 à 14:44:07 »
L'ARCEP nous a écouté et s'est offert un certificat SSL "Extended Validation", le haut de gamme, qui permet d'afficher le nom de la société qui a été vérifié.

La classe, pour le gendarme des Telecoms !

Copie d'écran avec Chromium :


Copie d'écran avec Microsoft Edge :


vivien

  • Administrateur
  • *
  • Messages: 29 148
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #18 le: 30 mai 2017 à 14:45:43 »
Par contre, j'ai l'impression qu'ils n'ont pas implèmenté la chaîne des certificats.

Résultat cela ne marche pas du tout avec plusieurs navigateurs, dont Firefox :







vivien

  • Administrateur
  • *
  • Messages: 29 148
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #19 le: 30 mai 2017 à 14:47:27 »
Il semble manquer dans la configuration du serveur web    Apache de l'ARCEP, le certificat GlobalSign Extended Validation CA - SHA256 - G3

Chrome télécharge les certificat intermédiaire, si ils n'est pas envoyé par le serveur web ?





mirtouf

  • Client Bbox fibre "câble"
  • *
  • Messages: 476
  • FTTLA et FTTH sur Chelles (77)
    • L'antre de la bête
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #20 le: 30 mai 2017 à 14:53:10 »
La chaîne n'est pas complète et arcep.fr n'est listé ni dans le Common Name ni dans la liste SAN.

Grillé.

FloBaoti

  • Client Free adsl
  • *
  • Messages: 390
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #21 le: 30 mai 2017 à 15:07:52 »
Ce n'est pas de l'Extended Validation, si ? Ces certificats ne permettent pas des Alt Name il me semble

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 228
  • Lyon & Paris
    • MilkyWan
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #22 le: 30 mai 2017 à 15:08:45 »
Si si, c'est bien un EV avec des Alt name, on a halluciné au boulot en voyant ça aussi.


EDIT : https://en.wikipedia.org/wiki/Subject_Alternative_Name (Vu la capture, c'est possible, et Comodo a une offre)

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 1 972
    • Ukrainian Resilient Data Network
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #23 le: 30 mai 2017 à 15:18:35 »
Ils débutent, dans 10 ans l'IPv6, peut-être.

 

Mobile View