Libre-Fan en accès sécurisé HTTPS (TLS)

categories:

Top-tab links:

Tout a changé  et tout est simple Icon biggrin : allez lire [TuxFamily] LGL certifié par Let’s Encrypt mais je laisse la suite pour les archives Icon wink

L'histoire jusqu'au 8 mars 2015

En résumé, voici comment accéder à tout le site de Libre-Fan de manière sécurisée sans avoir une page d’avertissement de Firefox qui semble vous bloquer l’accès au site.

Libre-Fan est accessible en mode non sécurisé (HTTP, par défaut) ou en mode sécurisé (HTTPS, mais avec du contenu non sécurisé, à cause des images, voir plus bas).

Pour la commodité de tous les visiteurs, toutes les pages et tous les liens sont en HTTP, par défaut. Mais vous pouvez changer tout ça.

Accès en HTTPS

Il est possible d'accéder à Libre-Fan en mode sécurisé. C'est utile si vous voulez envoyer un commentaire : cela protège votre adresse mail que vous devez indiquer d'interceptions possibles par des malfrats (des gens ou des robots de GAFAM etc.), par exemple.

Pour faire passer Libre-Fan en connexion sécurisée, il suffit de taper dans la barre de l’URL de Firefox l'adresse du site, avec HTTPS devant le nom de domaine, ainsi :
https://librefan.eu.org

Vous aurez sans doute la mauvaise surprise de voir s’afficher une effrayante mise en garde de Firefox, «Attention site dangereux !»

En l’occurrence, pas besoin de paniquer. Pour accéder au site Libre-Fan en HTTPS et faire en sorte que Firefox comprenne qu’il n’y a pas de danger, cela se fait en trois clics  :

  1. Cliquez sur le bouton «je comprends les risques» ou quelque chose comme ça
  2. Clic sur le bouton «Ajouter exception…» qui apparaît au bas de la fenêtre
  3. Dans la nouvelle fenêtre qui s'affiche, clic sur le bouton «Voir» («View») et vérifiez soigneusement la ligne SHA1 qui doit être identique à celle-ci :
    9F:A8:3E:2F:9A:4E:B0:74:8D:A0:C4:16:22:CB:9D:10:40:A0:B2:E8
  4. Si c’est bon, clic sur le bouton «Confirmer exception» ou un truc comme ça dans la nouvelle fenêtre)

Vous serez tranquilles ensuite car Firefox aura enregistré le certificat de sécurité de TuxFamily.

→ Pour plus de sécurité, avant de cliquer sur le bouton «Confirmer exception», vous pouvez vous-mêmes récupérer le SHA1 de TuxFamily en fouillant sur leur site.

Voir Libre-Fan en mode sécurisé, HTTPS

Avec l'extension pour Firefox, NoScript, vous pouvez très facilement voirLibre-Fan en mode HTTPS : «Préférences» (ou «Options») > onglet «Avancé» > onglet «HTTPS» > sous-onglet «Comportement» («Behaviour»). Vous pouvez y rajouter librefan.eu.org dans le champ intitulé «Forcer les domaines suivants à passer par une connexion sécurisée». Voici l'image de cet onglet :

Noscript, onglet HTTPS

Pour NoScript, voyez :

Libre-Fan pas entièrement sécurisé à cause des images

En principe, les images s’affichent en connexion sécurisée. Mais elles sont sur un autre nom de domaine (download.tuxfamily.org) qui n’est pas accessible en HTTPS (pour des questions de rapidité de chargement des pages, donc de performance du serveur). Pour cette raison, Firefox affiche dans la barre de l'URL juste devant https un verrou avec un triangle jaune, comme vous le montre cette image :

Verrou avec triangle dans barre URL de Firefox

Si vous cliquez sur ce verrou avec triangle, Firefox vous explique que la connexion n'est pas entièrement sécurisée, comme vous le montre cette image :

Firefox vous explique le verrou

C'est sans importance pour ce site web.

Nous attendons tous Let’s Encrypt, qui facilitera peut-être les choses pour l'hébergeur.

Par précaution, vous pouvez inscrire le domaine download.tuxfamily.org dans le champ «Ne jamais forcer etc.» de l'option HTTPS de NoScript (voyez plus haut).

Pour en savoir plus

Voyez la page d'accueil de Effraie.org qui vous explique tout de manière claire — (petite remarque en passant, il ne s'agit plus de «SSL» depuis des lustres mais de «TLS», mais c'est sans importance pour cet article.)

Rappel : Libre-Fan est hébergé chez TuxFamily, association très sérieuse qui a son propre certificat de sécurité. Les entreprises qui sont spécialisées en certificat de sécurité font payer leur service bien trop cher pour de petites associations et se font parfois voler leurs données… En définitive, TuxFamily est plus sûr, bien que des améliorations pourraient être faites.

L'avenir c'est «Let’s Encrypt»

Bref, attendons quelques mois pour voir si Let’s Encrypt peut aider même les petits hébergeurs avec certificats auto-signés.

Eh oui, c'est maintenant le présent et l'avenir Smile