[quote=“madshiva, post:18, topic:5606, full:true”]
En même temps si quelqu’un sniff tes paquets sur ton réseau c’est que c’est un réseau pourri. HTTPS surcharge le réseau et les ordinateurs inutilement.
[/quote]A partir du moment ou tu gères des droits je ne vois aucune raison de laisser balader des mots de passes ou données sensibles en clair.
Sniffer le réseau n’est pas très compliqué, cela peut-être intentionnellement (employé sur le départ, sous traitant véreux), ou involontairement (virus). La plupart des gros réseaux sont tombés comme ça tu hackes un poste d’un user lambda (virus ou mot de passe deviné), et tu sniffes le réseau pour chopper petit à petit des privilèges.
Avec ce genre de raisonnement, pas besoin de s’embêter à gérer des droits : un dossier réseau partagé en écriture à tout le monde, y’a qu’à mettre le fichier Excel des salaires dans un dossier “ne pas ouvrir”…
Justement pour ça qu’on sécurise le réseau d’abord c’est à dire faire tomber le port réseau au cas ou celui-ci voudrais le faire. Pas de sniff sur le réseau pas de problème de lecture de données en clair.
Après si le navigateur supporte HTTP/2, il n’ y a pas de perde de temps, au contraire un gain, mais avant que se soit à 100% en place…
PS: J’ai jamais dit qu’il ne fallait rien faire. Pas besoin d’essayer d’interpréter donc ce que j’ai dit.
Merci du tuyau, mais je me suis mal exprimé:
Comment profiter du cache/performance de Cloudflare et utiliser un système de certification ssl annexe (Let’s Encrypt/Certbot… ) , sans payer celui de cloudflare ou utiliser son système gratuit.
Je peux me tromper, mais après un weekend et 1 journée de recherche je crois que ce n’est pas possible sans payer.
Note:
if you’re setting up a cron or systemd job, we recommend running it twice per day (it won’t do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let’s Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.
Salut,
Autre que de passer d’un htttp vers un https qui m’intéresse vraiment, une information web m’intrigue: je la rapporte en tant que tel https://masquersonip.com/3917/faille-dans-la-securite-s-la-freak-attack/ que faire dans ce cas? Une telle faille ne met pas en danger tout son site web surtout que pour mon cas j’ai beaucoup de données clients (vente de produits bios en ligne), est-il judicieux de faire usage de Let’s Encrypt alors qu’il est gratuit?
Cette attaque concerne un client qui se connecte par HTTPS et dont l’attaquant pourra lire ce qu’il ferra comme si il était sur un site HTTP normal, tu ne peux rien faire contre ça. Cela dépend du navigateur web, de l’OS du client. De toute façon c’est un client sa machine pourrais tout autant être compromises pas un troyen, virus, etc.
Je ne dis pas qu’il ne faut pas mettre sont site en HTTPS, simplement que c’est généralement trop utilisé à des fins marketing, de vendre des certificats alors que la plus part des sites n’on en réalité absolument pas besoin d’être en HTTPS.
Aussi je trouve dommage de faire des articles qu’en surface sans expliquer exactement ou est le problème.
On est bien obligé d’interpréter ce que vous dites, car cela n’a pas beaucoup de sens, quand on sait que la plupart des attaques viennent de l’intérieur des organisations …
Bon je sais que cette article est super vieux, mais il m’avais bien servie il y a quelque année pour un tous petit site statique.
Bref le problème c’est que let’s encrypt " is removing support for domain validation with TLS-SNI-01" et que du coup je doit annuler ce qui a était fait et trouver une alternative. Ça serait super cool de faire un follow up sur cette article
merci pour le super contenu comme toujours
Normalement, la dernière version de certbot permet de passer sur les nouveaux certificats, en tout cas je n’ai pas eu de warning sur un serveur créé vendredi dernier (debian 8, nginx)