Auteur Sujet: Les erreurs à ne pas faire quand on bascule son site en https  (Lu 18672 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #24 le: 30 mai 2017 à 15:27:02 »
Ils débutent, dans 10 ans l'IPv6, peut-être.
L'IPv6 sur le site de l'ARCEP arrive en 2018, ils l'ont annoncé ce matin, lors de la conférence de presse.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #25 le: 30 mai 2017 à 16:03:36 »
Étonnant : Chrome version bureau n'est pas géné par le fait que la chaîne n'est pas complète

Par contre sur le mobile, Chrome pour Android refuse d'afficher le site de l'ARCEP : Pourquoi une telle différence entre version PC et version Android ?


La navigateur Firefox et le navigateur "Samsung Internet" sur Android :



alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #26 le: 30 mai 2017 à 16:16:00 »
Personnellement, sous windows, que ce soit avec Firefox (53.0.3), Chrome, Edge ou IE, aucun avertissement ou problème pour accéder en https au site Arcep.

P.S : Sous Android (6.0.1), pas de problème non plus avec Firefox et Chrome.

En fait, pas de problème avec www.arcep.fr, mais problème avec arcep.fr tout court.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #27 le: 30 mai 2017 à 16:22:07 »
Pourtant, j'ai bien une erreur avec Fireofx 53 sous Windows 10.

Voici la copie d'écran :


Tu n'aurais pas un anti-virus qui fait du man-in-the-middle et qui détruit toute la politique de sécurité ?

Tu as une longue liste d'anti-virus déconseillé pour les pb de sécurité qu'ils engendrent :


Le département de la sécurité intérieure des Etats-Unis a trouvé que plusieurs produits d'inspection de trafic HTTPS ne valident pas correctement les certificats de sécurité. Des chercheurs de Google, Mozilla, Cloudflare, de grandes universités américaines ont écrit ce document de 13 pages  : "The Security Impact of HTTPS Interception"

Ils ont testé les anti-virus et seuls deux parmi les plus connus qui interceptent le https ne dégradent pas la sécurité : Avast 11 pour Windows et BullGuard Internet Sécurité 16.

Les autres sont à déconseiller :


L'anti-virus de Microsoft n'est pas dans la liste car il ne fait pas d'interception https.
Je précise que ces fonctions d’interception https dégradent le débit et qu'il est nécessaire de désactiver ces fonctions pour avoir tout le débit d'une connexion fibre sur du trafic https.


(cliquez sur la miniature ci-dessous - le document est au format PDF)


Liste des auteurs : Zakir Durumeric, Zane Ma, Drew Springall, Richard Barnes, Nick Sullivan, Elie Bursztein, Michael Bailey, J. Alex Halderman, Vern Paxson.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #28 le: 30 mai 2017 à 16:26:24 »
J'ai windows defender (j'ai désinstallé il y a quelque temps kasperky endpoint qui me posait problème).

Voici ma capture :

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #29 le: 30 mai 2017 à 16:30:43 »
Il ne semble pas y avoir de man-in-the-middle, vu que le certificat est celui de l'ARCEP et non celui d'un anti-virus.

Cela serait possible d’afficher la hiérarchie des certificats ?

Tu cliques sur le cadenas vert puis la fléche à droite, "plus d'information" et "afficher le certificat"

Voici ce que j'ai (sous Linux, mais bien sur la chaîne de certificat est la même sous Windows)



Pour donner une information complète, c'est réalisé avec un accès câble 100/5 SFR, opérateur pour lequel ma confiance sur la neutralité est élevé via un accès fixe.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #30 le: 30 mai 2017 à 16:39:10 »
Voilà :


alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #31 le: 30 mai 2017 à 16:47:35 »
P.S : maintenant sous Android, j'ai une erreur de certificat (je suis chez Freemobile), sous Firefox, mais pas sous Chrome ?

Sous Firefox : SEC_ERROR_UNKNOWN_ISSUER

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #32 le: 30 mai 2017 à 16:49:06 »
Tu pourrais essayer après avoir vidé le cache de ton navigateur ?

Ma copie d'écran :


- Navigateur : Firefox 53.0.3 64bits (cache vidé)
- Système d'exploitation : Windows 10 Pro 1703 (Installation de Windows 10 depuis l'ISO - je ne fais pas confiance à l'OS pré-installé par Dell)
- Anti-virus : Windows Defender
- Accès à Internet : SFR câble 100/5 IPv4 only
Note : Je suis 99,5% du temps sous Linux, Windows ne me sert que pour réaliser de tests.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #33 le: 30 mai 2017 à 16:58:11 »
Même chose après avoir vidé l'historique récent. Je suis en windows 10 1607, upgradé à partir de windows 7, installé à l'origine depuis l'iso Microsoft.

P.S : par contre, sur un windows 7 à côté, avec Kaspersky, message d'erreur sur le certificat. Bizarre...

Un collègue sous Ubuntu 16.04, avec Firefox, pas de problème non plus, chaine de certificat complète...

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #34 le: 30 mai 2017 à 19:16:59 »
Si si, c'est bien un EV avec des Alt name, on a halluciné au boulot en voyant ça aussi.


EDIT : https://en.wikipedia.org/wiki/Subject_Alternative_Name (Vu la capture, c'est possible, et Comodo a une offre)

halluciné ?! pourquoi ?

C'est la norme de nos jours ou j'ai loupé un truc? c'est recommandé depuis 2000 et la rfc 2818...

D’ailleurs Chrome 58 ne supporte plus que les SAN dans un certificat: https://www.chromestatus.com/features/4981025180483584
« Modifié: 30 mai 2017 à 22:24:00 par kgersen »

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #35 le: 30 mai 2017 à 20:17:00 »
Ben pour moi (et mes collègues) on ne pouvait pas prendre un EV avec des Alt names.