Auteur Sujet: Les erreurs à ne pas faire quand on bascule son site en https  (Lu 18659 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https

Si vous hébergez plusieurs sites web sur un même serveur et que tous ne migrent pas en même temps en https, il faut prêter une attention particulière aux sites qui ne basculent pas en https.

Si on appelle un site http en https il y a 3 possibilités :
- Cas1 : Le serveur n'écoute pas sur le port 443 (port de https) => Le site ne sera pas accessible en https et il sera référencé sur Google en http
- Cas2 : Le serveur écoute sur le port 443 pour un autre site sur le même serveur et aucune redirection http n'existe => Le site qui va s'afficher ne sera pas celui demandé par le client et Google risque de référencer ce mauvais site
- Cas3 : Le serveur écoute sur le port 443 et redirige le client sur le port 80 => le client sera redirigé sur le site non chiffré. C'est l’option a privilégier.

Pour prendre un cas concret, l'ARCEP est passé du cas N°1 (pas de https) au cas N°2 ces derniers jours.

Aujourd'hui voici ce que l'on a quand on visite https://arcep.fr/ :


C'est bien différent du site http://arcep.fr/ :


L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur.

Même si vous n'avez aucun site en https sur votre serveur, il est conseillé de prendre un certificat pour faire une redirection (cas N°3), ce qui évitera aux clients qui mettent systématiquement https d'avoir une page qui ne se charge pas.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #1 le: 24 mars 2017 à 13:53:04 »
Au niveau des certificat, dans la cas présent, avec l'ARCEP le certificat n'est pas le bon. Les clients sans anti-virus avec du Man-in-theMiddle verront donc un message d’alerte.

Pou ceux qui ont un certificat "willcard", le certificat pourrait être ok sur les deux domines, il n'y aura donc aucune alerte pour le client qui visitera le mauvais site.

Certificat SSL pour l'ARCEP :


Autre erreur de l'ARCEP : ne pas avoir suit les pratiques pour sécuriser un site. Même sur https://monreseaumobile.fr/, de nombreuses vulnérabilités SSL sont présentes :


L'ARCEP a pourtant choisit un certificat payant, délivré par GlobalSign, alors qu'un certificat gratuit (Let's Encrypt, l'autorité de certification porté par l'Electronic Frontier Foundation) permet par défaut d'avoir un A (et un A+ avec quelques modifications) :



Autre problème sur le site de l'ARCEP : il n'y a pas un site, mais deux sites ARCEP : http://arcep.fr/ et http://www.arcep.fr/

Il est déconseillé d'avoir deux sites différents.
Il est conseillé de mettre des redirections.

Concrètement il est recommandé de mettre des redirections.

Exemple pour LaFibre.info :
- http://lafibre.info/ === redirige vers ===> https://lafibre.info/
- http://www.lafibre.info/ === redirige vers ===> https://lafibre.info/
- https://www.lafibre.info/ === redirige vers ===> https://lafibre.info/

Pour un site non disponible en https, il faut également 3 redirections, qui redirigent les sites https ou http + www vers l'unique site.
Il est possible de mettre les 3 redirections vers le site avec le www ou vers le site sans www.
Le www est pour des raison historique et il n'apporte rien, d'où le fait de plus en plus de nouveau sites de faire pointer vers le site sans www (c'est le cas de https://lafibre.info/). Il ne faut par contre pas modifier ce choix.




Concrètement, voici ce qu'il faut faire dans la configuration Apache : (l'ARCEP utilise Apache)

Redirection des requêtes http avec et sans www vers le site en https :
<VirtualHost *:80>
        ServerName "lafibre.info"
        ServerAlias "www.lafibre.info"

        Redirect permanent / https://lafibre.info/
        CustomLog ${APACHE_LOG_DIR}/redirect80.log combined
</VirtualHost>
A noter que seul le début de l'URL modifié : si une page est appelée, la redirection va permettre de voir la page demandée.



Redirection des requêtes https avec www vers le site sans www.
Ici on est en https, il faut donc un certificat, même si c'est juste pour une redirection.

<VirtualHost *:443>
        ServerName "www.lafibre.info"
        SSLEngine on
        SSLCertificateFile /etc/ssl/private/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key
        SSLCertificateChainFile /etc/ssl/private/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/ssl/private/ca.pem
        Header always set Strict-Transport-Security "max-age=63072000; preload"

        Redirect permanent / https://lafibre.info/
        CustomLog ${APACHE_LOG_DIR}/redirect443.log combined
</VirtualHost>
A noter que seul le début de l'URL modifié : si une page est appelée, la redirection va permettre de voir la page demandée.



Hébergement du site en https
<VirtualHost *:443>
        ServerName "lafibre.info"
        ServerAdmin mail@domaine

        SSLEngine on
        SSLCertificateFile /etc/ssl/private/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key
        SSLCertificateChainFile /etc/ssl/private/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/ssl/private/ca.pem
        # Utiliser HSTS (HTTP Strict Transport Security) pour forcer le navigateur a contacter le nom de domaine pendant 2ans que en https
        Header always set Strict-Transport-Security "max-age=63072000; preload"
        Header always set X-Frame-Options DENY
        Header always set X-Content-Type-Options nosniff

        DocumentRoot "/home/lafibre"
        <Directory "/home/lafibre">
                Options None
                AllowOverride None
                Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #2 le: 24 mars 2017 à 14:05:20 »
Bon, c'est la leçon pour l'ARCEP ;)

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #3 le: 24 mars 2017 à 17:54:04 »
...L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur...
...Comme ça ne me le faisait pas hier, j'ai voulu revérifier à l'instant et... ça ne me le fait toujours pas ! 

corrector

  • Invité
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #4 le: 24 mars 2017 à 18:15:40 »
Pour prendre un cas concret, l'ARCEP est passé du cas N°1 (pas de https) au cas N°2 ces derniers jours.

Aujourd'hui voici ce que l'on a quand on visite https://arcep.fr/ :


C'est bien différent du site http://arcep.fr/ :


L'ARCEP a fait ici l’erreur de ne pas mettre de redirection https://arcep.fr/ vers http://arcep.fr/
Le site qui s'affiche est donc https://monreseaumobile.fr/ qui est lui hébergé sur le même serveur.
Quels glands!

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #5 le: 24 mars 2017 à 20:06:38 »
Quels glands!

Toujours aussi sympa le corrector !

corrector

  • Invité
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #6 le: 24 mars 2017 à 20:47:11 »
Je me retiens de dire ce que je pense, en général.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #7 le: 24 mars 2017 à 21:33:03 »
Ah, je n'avais pas remarqué ;)

Errare Humanun est, sed persevare diabolicum est.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #9 le: 25 mars 2017 à 21:07:32 »
Ca la fout mal quand même que le régulateur français de l'Internet fasse une bourde pareil.

en plus ils sont a 0% niveau IPv6 ...re-sigh

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #10 le: 25 mars 2017 à 21:35:50 »
J'ai l'info de pourquoi le https a été mis sur un site annexe et pas sur le site principal...

Il faut remercier Google Chrome : Depuis la sortie de Google Chrome 50 (sortie le 20 avril 2016), l’API HTML5 de géolocalisation est réservée aux pages en https, ce qui a poussé l'ARCEP a passer le site monreseaumobile.fr en https, pour bénéficier de la géolocalisation.

=> [Chrome] API JS donnant accès aux données sensibles réservées origines sures

Pour Firefox, le blocage de la géolocalisation des sites en http se fera avec Firefox 55, qui est prévu pour le 8 août 2017.
Sur ce coup là Firefox est en retard.

Par contre Firefox arrive avant Chrome, pour les messages d’alertes quand on remplit des données sur un site non https :

Le message d'alerte apparaît sur chaque champ en http:


Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Les erreurs à ne pas faire quand on bascule son site en https
« Réponse #11 le: 25 mars 2017 à 21:39:07 »
...Une prochaine étape pourrait être de ne plus pouvoir remplir les formulaires en http.
En 2018 ?