Topic: HTTPS revisited

Bonjour tout le monde,

je suis conscient que HTTPS en mutualisé, c'est un sujet délicat, mais depuis le dernier (?) thread de 2008 [1], il y a peut-être intêret à re-évaluer la question car il y a des nouveaux développements :

* Après les rélévations Snowden, HTTPS semble de plus en plus devenir un nouveau standard pour le web, même si ce n'est que pour un simple forum. La FSF et autres organisations font des campagnes comme Reset The Net [2].

* Une raison majeure qui a empêché l'adoption de Server Name Indication (plusieurs certificats pour une même adresse IP et le même port) était l'indisponibilité de ce mécanisme sous Windows XP, qui lui n'est plus supporté depuis avril 2014.

J'ajoute que les développements autour de Heartbleed m'ont montré que malgré la faible adoption de la part des navigateurs, un CA communeautaire comme CAcert vaut beaucoup mieux qu'une société qui donne des certificats apparemment gratuits mais payant en cas des problèmes (revocation).

Aujourd'hui, tout HTTPS chez Tuxfamily semble partager le même certificat (auto-signé) de web.tuxfamily.org, ce qui provoque des erreurs (initiales) chez tout le monde. Passer à un *.tuxfamily.net de CAcert pourrait améliorer la situation. Et si les propriétaires des autres domaines hébérgés par Tuxfamily auraient la possibilité de poser leur propres certificats, CAcert ou autre, quelque part, comme c'était une fois pensé dans le thread de 2008, ce serait le top du top.

Je ne sais pas si je peux aider dans tout cela, mais si c'est le cas, j'en serait très content.

Viktor.

[1] http://forum.tuxfamily.org/viewtopic.php?id=229
[2] https://www.resetthenet.org/

Re: HTTPS revisited

viktor wrote:

* Une raison majeure qui a empêché l'adoption de Server Name Indication (plusieurs certificats pour une même adresse IP et le même port) était l'indisponibilité de ce mécanisme sous Windows XP, qui lui n'est plus supporté depuis avril 2014.

Il serait encore supporté que j'en aurais rien à carrer. Nous ne sommes pas un hébergeur pro ou cette contrainte est un problème, juste on s'en moque.


viktor wrote:

Aujourd'hui, tout HTTPS chez Tuxfamily semble partager le même certificat (auto-signé) de web.tuxfamily.org, ce qui provoque des erreurs (initiales) chez tout le monde. Passer à un *.tuxfamily.net de CAcert pourrait améliorer la situation.

Ou pas, vu que les CA de CAcert sont quasiment supprimés de tous les navigateurs et systèmes.


viktor wrote:

Et si les propriétaires des autres domaines hébérgés par Tuxfamily auraient la possibilité de poser leur propres certificats, CAcert ou autre, quelque part, comme c'était une fois pensé dans le thread de 2008, ce serait le top du top.

Ben, en fait, moi ce que j'aimerais, c'est un module Apache capable d'aller chercher les certifs dans une base postgresql, pour continuer à ne pas avoir besoin de générer des configurations Apache. J'avais commencé à regarder, ça me semble pas si difficile que ça à pondre.


viktor wrote:

Je ne sais pas si je peux aider dans tout cela, mais si c'est le cas, j'en serait très content.

Si ton compilateur C est copain avec toi, moi j'suis chaud pour donner un coup de patte au truc précédent.

Re: HTTPS revisited

gradator wrote:

[WinXP] serait encore supporté que j'en aurais rien à carrer. Nous ne sommes pas un hébergeur pro ou cette contrainte est un problème, juste on s'en moque.

Oui oui, je n'ai pas pensé à un hébergeur "entreprise", je ne voulais pas insulter TF ;) juste que selon les communeautés, surtout quand ce n'est pas du code source dur, il peut y avoir des super contributeurs encore en WinXP. Certes, ils peuvent toujours utiliser HTTP.

gradator wrote:
viktor wrote:

Passer à un *.tuxfamily.net de CAcert pourrait améliorer la situation.

Ou pas, vu que les CA de CAcert sont quasiment supprimés de tous les navigateurs et systèmes.

Certes, mais j'espère que cette erreur sera corrigée et qu'à terme les gens vont réaliser qu'un CA communeautaire est mieux pour eux qu'un for-profit "gratuit". Un peu comme le Libre et le Freeware. Heartbleed et le comportement de StartSSL a aidé, je pense.

De toute façon, un *.tuxfamily.net de CAcert accepté par < 1 % des internautes n'est pas pire que le certificat aujourd'hui accepté par 0% ;-) et bien sûr, s'il y a moyen d'avoir un * ailleurs, je n'ai rien contre. C'est simplement contre ma nature de demander des dépenses aux autres.

gradator wrote:

Ben, en fait, moi ce que j'aimerais, c'est un module Apache capable d'aller chercher les certifs dans une base postgresql, pour continuer à ne pas avoir besoin de générer des configurations Apache. J'avais commencé à regarder, ça me semble pas si difficile que ça à pondre.
[...] Si ton compilateur C est copain avec toi, moi j'suis chaud pour donner un coup de patte au truc précédent.

Alors, je n'étais jamais un grand expert en C et j'ai beaucoup moins de temps disponible que j'aimerais, mais ceci dit, ce sera avec plaisir. Avons-nous besoin d'un regard tiers pour la sécurité ? J'imagine que la base Postgres fera un bon cible et a besoin d'un maximum de protéction. Je vais nous ouvrir un projet sur GitHub... euh... moment... ;-)

Re: HTTPS revisited

gradator wrote:

Ben, en fait, moi ce que j'aimerais, c'est un module Apache capable d'aller chercher les certifs dans une base postgresql, pour continuer à ne pas avoir besoin de générer des configurations Apache. J'avais commencé à regarder, ça me semble pas si difficile que ça à pondre.
[...] Si ton compilateur C est copain avec toi, moi j'suis chaud pour donner un coup de patte au truc précédent.

Qu'est-ce que je peux faire pour avancer dans cette direction ?

Il me semble qu'il y a des pressions pour changer HTTPS d'un feature "sympa à avoir" vers un "quasi-obligation" :
"Chromium to start marking HTTP as insecure"
http://lwn.net/Articles/626143/

5 (edited by xavier 2014-12-14 19:21:51)

Re: HTTPS revisited

Hello viktor,

Oui, on avait vu les news... ça nous incite effectivement à revoir nos fondations techniques. L'équipe est d'ailleurs partagée sur cette nouvelle approche :

  • d'un côté, chiffrer toutes les connexions HTTP, c'est bien, ça limite les risques d'interception et de falsification, et en plus, on n'aura plus jamais d'ennuis avec les sites mixtes HTTP+HTTPS

  • d'un autre côté, en l'état actuel du marché des certifs-X509-qui-juste-marchent-partout (à une date où l'initiative Let's Encrypt n'est encore que du vaporware), cette initiative constitue une élévation du prix à payer pour mettre son petit bout de texte sur Internet ; celui qui ne veut rien débourser ou ne pas dépendre de l'aval des autorités de certification finira avec un ersatz de "feu orange" à gauche de l'URL de son site -- on peut aussi s'inquiéter:

    • que l'initiative provienne d'un projet lié à Google (qui vont se faire une joie d'ajuster leur panel de services en conséquence)

    • qu'elle constitue une source de revenus supplémentaires pour les actuelles autorités de certification

    • et qu'elle augmente le pouvoir de ces mêmes autorités via leurs CRL.

Bref, on va voir ce qu'on peut faire pour se préparer à ça... avec un peu de chances, une partie du chemin sera déblayée par d'autres hébergeurs/contributeurs...

Edit: oh, j'oubliais :

Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.

Re: HTTPS revisited

Hello Xavier,

merci beaucoup pour vos investigations de la situation. Je partage vos avis. Pour les domaines autre que *.tuxfamily.net, si chacun est libre de fournir "son" certificat, des trucs "gratuits" comme StartSSL (avec les bémols connus) restent possible, et au lieu d'attendre "Let's Encrypt", moi personnellement je fais largement plus de confiance à CAcert au point où je n'aurais pas de problème de dire à mes utilisateurs d'installer leur certificat s'ils veulent utiliser le site de manière sécurisée. Mais évidemment c'est une décision qu'on ne peut pas faire pour un tiers :)

7 (edited by librefan 2015-03-26 18:11:32)

Re: HTTPS revisited

Bonjour,

C'est sûr que le certificat auto-signé est un peu casse-tête. Par exemple, je dois mettre l'url de mon site en http (dans Wordpress) car autrement les visiteurs s'enfuient (sauf les spammers qui n'ont peur de rien).
Si je fais ça, je dois demander à NoScript de forcer le HTTPS sur le site, autrement, je ne peux pas avoir la page de login en HTTPS.
Et donc je suis moi dans mon coin en HTTPS (en principe, si NS fait son boulot) et tous les liens internes que je colle sont en HTTPS alors je dois les mettre en HTTP.

J'ai mis un mode d'emploi pour que les visiteurs passent par le HTTPS sans peur mais je n'ai pas l'impression que c'est la bonne méthode, surtout si on atterrit  par un lien externe.

Sud-Ouest.org dit que leur certificat officiel payant n'est pas bien cher. Donc, c'est peut-être surtout la question de la confiance qu'on peut avoir dans ces entreprises. Ceci dit le SSL de Sud-Ouest.org n'est pas parfait selon la page
https://www.ssllabs.com/ssltest/analyze … -ouest.org
Tout n'est pas dans le certificat, apparemment, il faut faire des tas de trucs de son côté.

En attendant, est-ce que vous pensez que les recommandations sur les deux pages ci-après peuvent un peu amélioré le HTTPS de TF (en dehors  du certificat auto-signé.

https://www.ssllabs.com/ssltest/analyze … family.org
https://www.ssllabs.com/ssltest/analyze … family.net

Parce que nous avons besoin de SSL quand nous passons dans l'espace "privé" d'un CMS pour faire des modifications, etc. pour que nos mots de passe soit tout de même protégés, peut-être y a-t-il des améliorations pas trop compliquées?? (je n'y connais rien, toutes mes excuses)

Et je me demandais aussi où peut-on au moins vérifier les empreintes qui sont indiquées dans ce que nous fournit Firefox quand il nous met en garde:
http://pix.toile-libre.org/upload/origi … 392102.png
Firefox m'a sauté à la figure quand j'ai voulu aller admirer le nouveau VHFFS mais je crois que c'est simplement que je ne suis pas allée sur le panel sur ce firefox. Je ne vois pas panel.tuxfamily.org dans la liste des serveurs des préf de Firefox (onglet certificats).

Rien n'est simple et tout se complique. En tous cas toujours grand merci pour tout ce que vous faites pour nous tous :-)

Re: HTTPS revisited

Bonjour à tous,

C'est le jour des bonnes nouvelles :-)

On commence l'expérimentation de certificats Let's Encrypt autogénérés et auto-renouvelés, c'est déjà en place pour les nouveaux sites web demandés via le panel. Mais pour l'instant, Let's Encrypt limite à 5 certifs par semaine par domaine (domaine au sens registrar "domaine.tld"), donc on ne peut demander plus de 5 certifs par semaine sur le domaine tuxfamily.org, mais cette limitation est entrain d'être levée côté Let's Encrypt.

Donc, pas de grande annonce pour l'instant, vu qu'on ne peut pas encore générer des certifs pour tous les sites, ceux qui veulent un certif valable pour participer à l'expérimentation, demandez ici ;-)

Sylvain