Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Sécuriser facilement et gratuitement un site avec HTTPS


#21

[quote=“madshiva, post:18, topic:5606, full:true”]
En même temps si quelqu’un sniff tes paquets sur ton réseau c’est que c’est un réseau pourri. HTTPS surcharge le réseau et les ordinateurs inutilement.
[/quote]A partir du moment ou tu gères des droits je ne vois aucune raison de laisser balader des mots de passes ou données sensibles en clair.
Sniffer le réseau n’est pas très compliqué, cela peut-être intentionnellement (employé sur le départ, sous traitant véreux), ou involontairement (virus). La plupart des gros réseaux sont tombés comme ça tu hackes un poste d’un user lambda (virus ou mot de passe deviné), et tu sniffes le réseau pour chopper petit à petit des privilèges.

Avec ce genre de raisonnement, pas besoin de s’embêter à gérer des droits : un dossier réseau partagé en écriture à tout le monde, y’a qu’à mettre le fichier Excel des salaires dans un dossier “ne pas ouvrir”…


#22

Justement pour ça qu’on sécurise le réseau d’abord c’est à dire faire tomber le port réseau au cas ou celui-ci voudrais le faire. Pas de sniff sur le réseau pas de problème de lecture de données en clair.

Après si le navigateur supporte HTTP/2, il n’ y a pas de perde de temps, au contraire un gain, mais avant que se soit à 100% en place…

PS: J’ai jamais dit qu’il ne fallait rien faire. Pas besoin d’essayer d’interpréter donc ce que j’ai dit.


#23

Bonjour l’équipe

Let’s Encrypt est fiable et gratuit, il a à son actif plus de 3,6 millions de certificats SSL sur l’ensemble de la toile. Let’s Encrypt à seulement un seul inconvénient, c’est que le certificat SSL est valable seulement pendant 90 jours mais nous pouvons le renouveler facilement.
donc je vous recommande d’utiliser Certok pour la meilleur sécurité des sites web, cependant j’ai pensé à haproxy, celui ci aussi utile.


#24

Ca fonctionne et c’est très facile. Suffit de passer par Crypto niveau dashboard :

Puis redirect 301 (optionnel selon indexation du site)

Et finalement créer une page rule : > Create Page Rule > http://nomdedomaine.fr/ > Always Use HTTPS


#25

Merci du tuyau, mais je me suis mal exprimé: :sweat_smile:
Comment profiter du cache/performance de Cloudflare et utiliser un système de certification ssl annexe (Let’s Encrypt/Certbot… ) , sans payer celui de cloudflare ou utiliser son système gratuit.

Je peux me tromper, mais après un weekend et 1 journée de recherche je crois que ce n’est pas possible sans payer.


#26

Ca veut dire que tu ne veux pas utiliser la version gratuite de Cloudflare qui pourtant donne accès à un certif gratis ?


#27

Bonjour tout le monde…
Est-ce que c’est possible avec Lighttpd? Et comment faire…?
Merci d’avance!


#28

Bonjour,

trouvé sur le site officiel (https://certbot.eff.org/all-instructions/)

Note:
if you’re setting up a cron or systemd job, we recommend running it twice per day (it won’t do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let’s Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

donc pas de soucis sur le spam :slight_smile:


#29

Attention, le crontab donné en exemple n’est pas bon: il s’exécutera toutes les 12 minutes, pas toutes les 12h.

Je vous conseille plutôt:

13 9,21 * * * /CHEMIN/VERS/certbot-auto renew --quiet --no-self-upgrade

…qui va lancer le script à 9h13 et 21h13. Vous pouvez mettre d’autres valeurs, hein :wink:


#30

Salut,
Autre que de passer d’un htttp vers un https qui m’intéresse vraiment, une information web m’intrigue: je la rapporte en tant que tel https://masquersonip.com/3917/faille-dans-la-securite-s-la-freak-attack/ que faire dans ce cas? Une telle faille ne met pas en danger tout son site web surtout que pour mon cas j’ai beaucoup de données clients (vente de produits bios en ligne), est-il judicieux de faire usage de Let’s Encrypt alors qu’il est gratuit? :neutral_face:


#31

Cette attaque concerne un client qui se connecte par HTTPS et dont l’attaquant pourra lire ce qu’il ferra comme si il était sur un site HTTP normal, tu ne peux rien faire contre ça. Cela dépend du navigateur web, de l’OS du client. De toute façon c’est un client sa machine pourrais tout autant être compromises pas un troyen, virus, etc.

Je ne dis pas qu’il ne faut pas mettre sont site en HTTPS, simplement que c’est généralement trop utilisé à des fins marketing, de vendre des certificats alors que la plus part des sites n’on en réalité absolument pas besoin d’être en HTTPS.

Aussi je trouve dommage de faire des articles qu’en surface sans expliquer exactement ou est le problème.


#32

Tu réponds à un spammeur. C’est signalé à la modération avec plusieurs MP, sans réaction de leur part.


#33

On est bien obligé d’interpréter ce que vous dites, car cela n’a pas beaucoup de sens, quand on sait que la plupart des attaques viennent de l’intérieur des organisations …


#34

C’est drôle la page n’est pas totalement sécu car LGeek à mis une image en http, le comble pour un article sur le ssl :smiley: