Auteur Sujet: Basculer la fibre en https (Lu 57766 fois)

corrector · « **Réponse #120 le:** 09 septembre 2014 à 10:10:45 »

Je parle pas de ce dernier changement, je parle de la fois où tu as activé le Forward Secrecy.

vivien · « **Réponse #121 le:** 27 janvier 2015 à 17:38:29 »

27 janvier 2015 : activation du HTTP Strict Transport Security

C'est expliqué sur Wikipedia : https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Concrètement, on indique au navigateur que pendant une durée (ici, j'ai mis 31536000 secondes, soit 1an) il ne doit pas utiliser http pour accéder au site web en http.

Prenons un exemple : vous voyagez avec votre PC portable. Vous allez à l'étranger et vous accédez avec votre marque page au favori qui est enregistré sans https mais en http.
En françe, vous avez le vrai site web qui répond qui vous transfert vers le site https.
Mais là, si il y a un pirate, il intercepte votre requête http et peut ne pas vous basculer en https pour récupérer vos données.

Avec Strict Transport Security, pendant 1an, votre navigateur note qu'il doit refuser de contacter votre site en http et tout basculer en https.

Il faut par contre être sur que le site web ne va pas avoir besoin de re-passer dans le futur en http, car sinon tous ceux qui ont déjà visité le site ne pourront pas y retourner.

Avec apache, cela nécessite d'activer le mod header : sudo a2enmod headers
On rajoute dans la conf https du serveur web la ligne suivante :

Code: [Sélectionner]

        # Utiliser HSTS (HTTP Strict Transport Security) pour forcer le navigateur a contacter le nom de domaine pendant 1an que en https
        Header always set Strict-Transport-Security "max-age=31536000; preload"

Cela permet d'avoir une note A+ sur Qualys SSL Labs :

corrector · « **Réponse #122 le:** 27 janvier 2015 à 18:03:20 »

Dans Chrome :
aller sur chrome://net-internals/#hsts

Found:
domain: lafibre.info
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains:
static_pkp_include_subdomains:
static_sts_observed:
static_pkp_observed:
static_spki_hashes:
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_pkp_include_subdomains: false
dynamic_sts_observed: 1422378033.888885
dynamic_pkp_observed: 0
dynamic_spki_hashes:

Optrolight · « **Réponse #123 le:** 27 janvier 2015 à 18:04:41 »

intéressant. Merci Vivien

Optrolight · « **Réponse #124 le:** 20 février 2015 à 11:03:16 »

Vivien j'ai pas le souvenir que lors de l'écriture dun message le https ne soit pas valider sous chrome.

vivien · « **Réponse #125 le:** 20 février 2015 à 12:59:51 »

C'est un vieux problème, ça... qui date de l'époque où le site était dispo en http et en https. Certaines actions redirigeaient vers le site http.

Depuis le 15 septembre 2013, le serveur web http n'a plus accès au contenu (il ne fait que rediriger vers la même url avec https) ce qui signifie qu'il est impossible d'avoir une page sans https depuis cette date. Les navigateurs incompatibles ne peuvent pas afficher la page lafibre.info tout simplement.

Citation de: vivien le 15 septembre 2013 à 14:32:11

Dernière phase pour le passage en https

Je viens de supprimer le contenu accessible sans https.

Aujourd'hui toute les connexions http vers lafibre.info sont renvoyée vers https.
C'est nécessaire car de nombreux liens tiers vont toujours sur le site en http et non en https.

Fichier de configuration pour http :
Code: [Sélectionner]
<VirtualHost *:80> ServerName lafibre.info ServerAlias [url=http://www.lafibre.info]www.lafibre.info[/url] Redirect permanent / [url]https://lafibre.info/[/url] </VirtualHost>
N'hésitez pas à me signaler des problèmes.

J'ai également supprimé les scripts tiers Cedexis (le radar cedexis) pour ne plus avoir le contenu mixte signalé par Corrector.

Auteur Sujet: Basculer la fibre en https (Lu 57766 fois)

corrector

corrector