Auteur Sujet: This page is insecure (broken HTTPS). SHA-1 deprecated !  (Lu 20414 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #36 le: 02 mai 2016 à 22:18:26 »
Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).

kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #37 le: 02 mai 2016 à 22:31:25 »
Suffit de créer un certificat juste pour ton sous domaine chez gandi à 12€

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #38 le: 03 mai 2016 à 00:43:37 »
Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).

kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?

Tu peux soit créer un certificat par domaine/sous-domaine soit un seul certificat pour plusieurs domaines qu'ils soient hiérarchiquement liés ou pas.

Comme tout est automatisable c'est juste un choix de ta part.

Le script de génération peut prendre plus d'un domain en paramètre comme ca:

./letsencrypt-auto certonly -a standalone -d lafibre.info -d www.lafibre.info -d ip.lafibre.info -d testdebit.info
la tu auras un seul certificat pour : lafibre.info , www.lafibre.info , ip.lafibre.info et testdebit.info. Ce sont tous des SAN.

Le script interactif pour Apache va demander de lui meme les domaines:

letsencrypt --apache

Comme tout est automatique et pour éviter les abus, il y a des limites en place (qui peuvent changer a l'avenir):

- 100 noms ou websites par certificat (= 100 SAN max dans un meme certificat)
- 20 certificats par domaine (parent) par semaine
- 5 certificats pour le meme FQDN par semaine

https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769 pour plus de détails.

Paul

  • Abonné Orange Fibre
  • *
  • Messages: 4 269
  • Vannes (56)
    • Twitter
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #39 le: 03 mai 2016 à 09:16:39 »
Avec 100 noms de domaines y a de quoi faire en plus. Après ça reste peut-être un peu long par rapport à une wildcard de taper tous ses sous-domaines dans la commande ;D

Darkjeje

  • Abonné Free adsl
  • *
  • Messages: 592
  • Free VDSL2 Issy-les-Moulineaux (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #40 le: 24 novembre 2016 à 09:56:36 »
Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :



Par contre sous Firefox le cadenas est vert.

corrector

  • Invité
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #41 le: 24 novembre 2016 à 10:17:32 »
Dans ce cas, regarde la source de la confiance!

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #42 le: 24 novembre 2016 à 10:42:57 »
Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :



Par contre sous Firefox le cadenas est vert.

c'est un probleme de ton windows,
voici la procédure pour forcer :
https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341

corrector

  • Invité
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #43 le: 24 novembre 2016 à 10:54:58 »
De toute façon, le fournisseur de certificats ayant vraiment déconné, il faut aller ailleurs. (C'est vraiment triste de voir de telles choses.)

Mais une boite de certification, comme toute organisation, peut se mettre à déconner et il FAUT avoir un plan B (si on a un site critique pour le business).

Je pense qu'un boite sérieuse devrait même avoir en permanence plusieurs certificats avec des sources de la confiance différentes, comme elle a des sauvegardes des fichiers clients à plusieurs endroits et pas que chez un fournisseur.

Darkjeje

  • Abonné Free adsl
  • *
  • Messages: 592
  • Free VDSL2 Issy-les-Moulineaux (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #44 le: 24 novembre 2016 à 13:38:47 »

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #45 le: 24 novembre 2016 à 16:22:01 »
Cette histoire de certificats non renouvelés avant la date d’expiration sous Windows 7 (et peut être d'autres versions), va couper l'accès à une partie d'internet sur la plupart des navigateurs l'année prochaine:
Citer
Mort de SHA1 : Microsoft s’aligne sur les principaux navigateurs
[...]
la date butoir a été fixée au 14 février 2017. À compter de cette date, les navigateurs Edge et Internet Explorer bloqueront partiellement l’accès aux sites utilisant un certificat TLS protégé par la fonction SHA1.
[...]
Microsoft n’est pas le seul à prévoir la fin du support de SHA1. Firefox a ainsi prévu de son côté que son navigateur bloquerait l’affichage des sites utilisant ces certificats à compter du 1er janvier 2017, tandis que Google Chrome prévoit cette évolution pour la fin du mois de janvier 2017.
[...]
http://www.zdnet.fr/actualites/mort-de-sha1-microsoft-s-aligne-sur-les-principaux-navigateurs-39844968.htm

Et dans la chaîne de certification, certains certificats dépassent les 10 ans de validité...
Les validités de 1, 2 ou 3 ans ne sont que pour le bout de chaîne, côté site.

corrector

  • Invité
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #46 le: 24 novembre 2016 à 20:12:30 »
Il y a une inertie monstrueuse dans ce domaine!

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #47 le: 16 février 2017 à 08:31:34 »
Plus de soucis depuis que LaFibre.info est passé sur Let's Encrypt.



Par contre j'ai maintenant le souci avec Google :