Auteur Sujet: Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples  (Lu 46798 fois)

0 Membres et 1 Invité sur ce sujet

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 032
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #24 le: 09 octobre 2014 à 21:45:08 »
Cloudflare propose gratuitement un SSL pour rendre son site en HTTPS.
Par contre il intervient entre le client <=> Clouflare.
Ensuite entre Cloudflare <=> Serveur on peut installer son propre SSL, ou en auto-signer un, vu que le client ne le voit pas, pas de problème.

corrector

  • Invité
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #25 le: 09 octobre 2014 à 22:01:30 »
Le chiffrement "de bout en bout" en prend un coup. :(

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 032
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #26 le: 09 octobre 2014 à 22:04:59 »

corrector

  • Invité
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #27 le: 09 octobre 2014 à 22:18:27 »
Oui mais ça casse le principe de chiffrement de bout en bout.

Tu n'es pas en liaison avec le serveur du fournisseur de service, mais avec un intermédiaire. Et en plus le navigateur du client ne peut pas vérifier le vrai certificat du serveur vu qu'il ne le voit pas. Cela introduit de nouvelles possibilités d'attaques.

Cela doit empêcher d'authentifier le client TLS, aussi.

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 032
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #28 le: 09 octobre 2014 à 22:22:20 »
Ouai mais c'est le principe du CDN non ? Cloudflare diffuse notre site sur plusieurs points dans le monde.

Je suis totalement d'accord avec toi, que ça instaure une faille.
Edit : Après si c'est un site perso qui demande rien sauf un email, je ne vois pas l’intérêt de payer un certificat, maintenant que Google a annoncé qu'il va (ou veut) mettre en première position uniquement les sites sécurisés (https)

corrector

  • Invité
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #29 le: 09 octobre 2014 à 22:25:57 »
Oui :
1) on s'en remet à un tiers : le fournisseur du CDN, Cloudflare, qui peut altérer les données ou garder des logs.
2) "Full SSL (Strict)" : en plus on s'en remet à la vérification du certificat par Cloudflare qui n'est pas capable de documenter ce qu'il entend pas "valide" autrement que par le foireux "This certificate must be signed by a certificate authority,". Est-ce que Cloudflare fait confiance à des guignols comme l'administration française? On peut pas le savoir.

Cela n'inspire pas du tout confiance.

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 032
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #30 le: 09 octobre 2014 à 22:28:08 »
Est-ce que Cloudflare fait confiance à des guignols comme l'administration française? On peut pas le savoir.
Tu peux leur demander, j'ai que des sites avec une offre gratuite chez eux, et j'ai eu une réponse à 20h40 en 10 minutes.

corrector

  • Invité
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #31 le: 09 octobre 2014 à 22:29:50 »
Le fait que ça ne soit pas documenté n'inspire pas confiance.

Surtout il faudrait pouvoir gérer ça soi-même.

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 032
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #32 le: 09 octobre 2014 à 22:36:43 »
Avec les offres Entreprises tu peux gérer toi même les certificats.

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #33 le: 09 octobre 2014 à 22:40:30 »
C'est le principe du CDN (Akamai est le plus connu) : Ils ont accès aux données et pourraient les modifier. L'hébergeur est en fait le CDN.

Quand tu vas sur le site de la maison blanche ( http://www.whitehouse.gov/ ) tu ne sais pas si c'est le vrai contenu ou pas (ils utilisent Akamai)

Là ils proposent en plus de l'https. C'est bout en bout entre le CDN et le client.

Généralement le contenu sur un CDN, c'est plus des images statiques que des données confidentielles. Les photos de Facebook sont chez Akamai mais pas le site dynamique.

corrector

  • Invité
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #34 le: 09 octobre 2014 à 22:52:40 »
Oui mais en plus de la vulnérabilité propre à l'intermédiaire, il y a le fait que la vérification du certificat est faite de façon incertaine par CloudFlare.

Il y a donc un risque de MITM entre CloudFlare et ton serveur, par une agence qui peut fabriquer des certificats. Et cela même si le client vérifie consciencieusement les certificats.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples
« Réponse #35 le: 20 novembre 2014 à 12:36:03 »
Un truc qui sort a l'été 2015: https://letsencrypt.org/

en gros ca sera "pour chiffrer un site web gratuitement en 2 étapes simples":

$ sudo apt install lets-encrypt
$ lets-encrypt example.com

c'est tout ;)

qui est derriere ca: Mozilla, Akamai, Cisco, l'EFF et IdenTrust ... donc pas des 'petits'.

A suivre dans un peu plus de 6 mois donc.