Libres-Ailé(e)s en accès sécurisé HTTPS

Et tout a changé  et tout est simple :-D : allez lire [TuxFamily] LGL certifié par Let’s Encrypt mais je laisse la suite pour les archives ;-)

L’histoire avant le 8 mars 2016

En résumé, voici comment accéder à tout le site de Libres-Ailé(e)s sans avoir une page d’avertissement de Firefox qui semble vous bloquer l’accès au site.

Nous sommes plus ou moins en connexion sécurisée : cela se voit en regardant la barre de l’URL du site (=adresse du site) qui commence par HTTPS ; pour l’administration du site, c’est indispensable mais pour les visiteurs, c’est parfois déconcertant.

De ce fait, si vous cliquez sur un lien comme «Continuer la lecture», ou sur le titre d’un article en page d’accueil ou sur une page du menu sous la bannière du site ou encore sur un lien latéral (figurant sous «Nos derniers articles», par exemple), vous aurez sans doute la mauvaise surprise de voir s’afficher une effrayante mise en garde de Firefox, «Attention site dangereux !»

En l’occurrence, pas besoin de paniquer. Pour accéder au site de Libres-Ailé(e)s et faire en sorte que Firefox comprenne qu’il n’y a pas de danger, ça se fait en trois clics :

  1. Cliquez sur le bouton «je comprends les risques» ou un truc comme ça
  2. Clic sur le bouton «Ajouter exception…» qui apparaît au bas de la fenêtre
  3. Dans la nouvelle fenêtre, clic sur le bouton «Voir» («View») et vérifiez soigneusement la ligne SHA1 qui doit être identique à celle-ci :
    9F:A8:3E:2F:9A:4E:B0:74:8D:A0:C4:16:22:CB:9D:10:40:A0:B2:E8
  4. Si c’est bon, clic sur le bouton «Confimer exception» ou un truc comme ça dans la nouvelle fenêtre)

Vous serez tranquilles ensuite car Firefox aura enregistré le certificat de sécurité de TuxFamily.

Pour plus de sécurité, avant de cliquer sur le bouton «Confimer exception», vous pouvez vous-mêmes récupérer le SHA1 de TuxFamily en fouillant sur leur site.

Maintenant, vous devez pouvoir lire un autre bout du mode d’emploi de L-A : Vos commentaires au bon endroit.

Il se peut que les images de galeries ne s’affichent pas. Alors, il faut retirer le s de https dans l’URL. En effet, nos images sont sur un autre espace du serveur qui n’est pas accessible en HTTPS. C’est pour cette raison que nous avons laissé tomber la connexion sécurisée par défaut, pour les visiteurs.

Libres-Ailé(e)s est hébergée chez TuxFamily qui est une association très sérieuse (hébergeur «pour les gens libres») et qui a son propre certificat de sécurité. Les entreprises qui sont spécialisées en certificat de sécurité font payer leur service bien trop cher pour de petites associations et se font parfois voler leurs données… En définitive, TuxFamily est plus sûr.

Il n’y a que deux inconvénients chez TuxFamily, tous deux liés au certificat TLS auto-signé :

  • Ce certificat risque de faire peur aux gens, malgré les explications que l’on peut apporter
  • Il est incompatible avec le serveur qui héberge les images et autres fichiers statiques de tous les sites hébergés. L’URL de ce serveur est donc nécessairement en HTTP.

Ce qui veut dire que le site n’est pas reconnu par Firefox comme étant entièrement sécurisé et que dans certains cas, il vaut mieux ne pas utiliser HTTPS sur le site public.
En revanche, WordPress met le côté espace privé du site en HTTPS, automatiquement, avec une modification dans la configuration.

Je pense que le serveur pour les images et autres contenus statiques n’est pas en HTTPS pour des questions traditionnelles de performance.

L’avenir, c’est «Let’s Encrypt»

Ces inconvénients seront peut-être réglés par «Let’s Encrypt», courant 2016, même si l’équipe de TuxFamily reste pour le moment dubitative.

Une connexion sécurisée est toujours préférable pour tous les sites, et c’est une bonne chose de donner l’exemple, mais pour nos sites publics GNU/Linux, c’est rarement essentiel.

HTTPS fonctionne différemment chez TuxFamily selon les sites web. En prenant l’exemple de 3 sites que je connais bien, c’est déjà curieux.
Tous les liens internes sont en HTTP car autrement, cela poserait des problèmes à des visiteurs affolés par l’avertissement de Firefox. Donc, l’URL déclarée dans la configuration de WordPress ou de Drupal commence par HTTP.

Personnellement, j’accepte le certificat de TuxFamily car j’ai confiance en cette équipe alors que j’ai beaucoup moins confiance dans des entités reconnues par Firefox et tous les navigateurs.

Nous utilisons donc pour nous-mêmes une connexion sécurisée, même pour lire des articles, sur Libre-Fan (Drupal) : j’ai ajouté librefan.eu.org dans le champ «Forcer les sites suivants à utiliser HTTPS, de l’onglet HTTPS de NoScript. En revanche, j’ai ajouté download.tuxfamily.org dans le champ «Ne jamais forcer…» pour m’assurer que les images s’afficheront sans problèmes.

En revanche, Libres-Ailé(e)s et Liberté GNU/Linux sont «fièrement propulsés par WordPress», et la connexion en HTTPS sur le site public est assez houleuse. Ça tourne sans fin lorsqu’on passe en HTTPS, à cause des images, qui pourtant s’affichent. Par défaut, le mode sécurisé est désactivé mais chacun peut essayer. Nous ne n’avons pas ajouté ces sites dans NoScript.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *