Auteur Sujet: This page is insecure (broken HTTPS). SHA-1 deprecated ! (Lu 22764 fois)

vivien · « **Réponse #36 le:** 02 mai 2016 à 22:18:26 »

Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).

kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?

Amon-Ra · « **Réponse #37 le:** 02 mai 2016 à 22:31:25 »

Suffit de créer un certificat juste pour ton sous domaine chez gandi à 12€

kgersen · « **Réponse #38 le:** 03 mai 2016 à 00:43:37 »

Citation de: vivien le 02 mai 2016 à 22:18:26

Ma version d'Apache 2.4 est maintenue (patch pour des pb de sécurité).

kgersen, il est possible de mettre du https sur https://ip.lafibre.info/ sans wildcard ?
Letsencrypt pourrait le faire ?

Tu peux soit créer un certificat par domaine/sous-domaine soit un seul certificat pour plusieurs domaines qu'ils soient hiérarchiquement liés ou pas.

Comme tout est automatisable c'est juste un choix de ta part.

Le script de génération peut prendre plus d'un domain en paramètre comme ca:

Code: [Sélectionner]

./letsencrypt-auto certonly -a standalone -d lafibre.info -d www.lafibre.info -d ip.lafibre.info -d testdebit.info
la tu auras un seul certificat pour : lafibre.info , www.lafibre.info , ip.lafibre.info et testdebit.info. Ce sont tous des SAN.

Le script interactif pour Apache va demander de lui meme les domaines:

Code: [Sélectionner]

letsencrypt --apache

Comme tout est automatique et pour éviter les abus, il y a des limites en place (qui peuvent changer a l'avenir):

- 100 noms ou websites par certificat (= 100 SAN max dans un meme certificat)
- 20 certificats par domaine (parent) par semaine
- 5 certificats pour le meme FQDN par semaine

https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769 pour plus de détails.

Paul · « **Réponse #39 le:** 03 mai 2016 à 09:16:39 »

Avec 100 noms de domaines y a de quoi faire en plus. Après ça reste peut-être un peu long par rapport à une wildcard de taper tous ses sous-domaines dans la commande

Darkjeje · « **Réponse #40 le:** 24 novembre 2016 à 09:56:36 »

Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :

Par contre sous Firefox le cadenas est vert.

« **Réponse #41 le:** 24 novembre 2016 à 10:17:32 »

Dans ce cas, regarde la source de la confiance!

Amon-Ra · « **Réponse #42 le:** 24 novembre 2016 à 10:42:57 »

Citation de: Darkjeje le 24 novembre 2016 à 09:56:36

Vivien, je ne sais pas si je suis sur le bon poste, mais pour info, j'ai le message suivant sous Chrome :

Par contre sous Firefox le cadenas est vert.

c'est un probleme de ton windows,
voici la procédure pour forcer :
https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341

« **Réponse #43 le:** 24 novembre 2016 à 10:54:58 »

De toute façon, le fournisseur de certificats ayant vraiment déconné, il faut aller ailleurs. (C'est vraiment triste de voir de telles choses.)

Mais une boite de certification, comme toute organisation, peut se mettre à déconner et il FAUT avoir un plan B (si on a un site critique pour le business).

Je pense qu'un boite sérieuse devrait même avoir en permanence plusieurs certificats avec des sources de la confiance différentes, comme elle a des sauvegardes des fichiers clients à plusieurs endroits et pas que chez un fournisseur.

Darkjeje · « **Réponse #44 le:** 24 novembre 2016 à 13:38:47 »

Citation de: Amon-Ra le 24 novembre 2016 à 10:42:57

c'est un probleme de ton windows,
voici la procédure pour forcer :
https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221341/#msg221341

Merci pour l'astuce

turold · « **Réponse #45 le:** 24 novembre 2016 à 16:22:01 »

Cette histoire de certificats non renouvelés avant la date d’expiration sous Windows 7 (et peut être d'autres versions), va couper l'accès à une partie d'internet sur la plupart des navigateurs l'année prochaine:

Citer

Mort de SHA1 : Microsoft s’aligne sur les principaux navigateurs
[...]
la date butoir a été fixée au 14 février 2017. À compter de cette date, les navigateurs Edge et Internet Explorer bloqueront partiellement l’accès aux sites utilisant un certificat TLS protégé par la fonction SHA1.
[...]
Microsoft n’est pas le seul à prévoir la fin du support de SHA1. Firefox a ainsi prévu de son côté que son navigateur bloquerait l’affichage des sites utilisant ces certificats à compter du 1er janvier 2017, tandis que Google Chrome prévoit cette évolution pour la fin du mois de janvier 2017.
[...]

http://www.zdnet.fr/actualites/mort-de-sha1-microsoft-s-aligne-sur-les-principaux-navigateurs-39844968.htm

Et dans la chaîne de certification, certains certificats dépassent les 10 ans de validité...
Les validités de 1, 2 ou 3 ans ne sont que pour le bout de chaîne, côté site.

« **Réponse #46 le:** 24 novembre 2016 à 20:12:30 »

Il y a une inertie monstrueuse dans ce domaine!

vivien · « **Réponse #47 le:** 16 février 2017 à 08:31:34 »

Plus de soucis depuis que LaFibre.info est passé sur Let's Encrypt.

Par contre j'ai maintenant le souci avec Google :