Rappelez moi l’intérêt pour un forum d'avoir du https?
il y a des choses sensible dessus?

Des décennies de bridage de l'usage de la crypto, etc. aboutissent à ce qu'on trouve normal de soumettre un mot de passe en clair!

Tous les forum devraient être en HTTPS dès qu'un utilisateur est connecté (pas forcèment en simple consultation anonyme).

Augmenter le nombre de connexions codés rendant ainsi plus difficile l'analyse statistique des communications.
Si tous ce qui sort de ta machine est du TLS, on ne peut pas déduire quand tu fais quelque chose de sensible.

Il y aurait des choses sensibles, qui méritent qu'on analyse statistiquement les communications, sur lafibre.info?

En prime, cela permet d'augmenter le cout des DPI

Augmenter?

Tu crois que le DPI est possible avec TLS?

Petite remarque :

Il est évident que tu peux corréler des informations publiques et une session TLS que tu observes : si tu vois que quelqu'un se connecte à lafibre et POST quelque chose (ce qui se voit facilement parce que c'est le seul cas où l'upload est de plus de quelques octets en HTTP), et qu'un message apparait sur le site, alors bingo tu sais qu'il vient de publier un message donc tu sais qui c'est.

Si aucun message n'apparait, essaie de voir si un message a été modifié : où trouve t-on la liste des messages modifiés sur lafibre?

Sinon, bonne chance pour savoir s'il a envoyé un MP ou s'il a utilisé la prévisualisation!

- StartCom Certification Authority
  - StartCom Class 1 Primary Intermediate Server CA
    - www.lafibre.info

E = postmaster@lafibre.info
CN = www.lafibre.info
C = FR
Identificateur d'objet (2 5 4 13) = 73RklQnT78nJak3e

Nom alternatif :

Non critique
Nom DNS: www.lafibre.info
Nom DNS: lafibre.info

Bravo!

Le SSL Report de Qualis SSL Labs relève des anomalies dans la chaine de certificats.
Il faut que ton serveur Apache envoie la chaine complète donc StartCom Certification Authority puis StartCom Class 1 Primary Intermediate Server CA puis le certificat de ton serveur.
Cela implique soit remplir SSLCACertificatePath avec un pem contenant les 2 certificats publiques de la CA soit basculer sur un fichier pem complet (contenant les 3 certificats publique) en utilisant SSLCertificateChainFile.

Désactive également les vieux ciphers DES aka:

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

D'après la documentation d'Apache, cela désactive tous les ciphers utilisant MD5 comme algo d'hashage.
C'est conseillé après les différentes attaques réussis sur MD5.

Sur une vieille Debian Etch, cela donne les ciphers suivants:

admin@cyteen:~$ openssl ciphers -v 'ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH'
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1