L'HTTPS c'est maintenant
#1
J'ai reçu un joli petit mail de la part de Google ce matin, en me demandant de passer tous mes sites ayant des "recueils de mots de passe" de passer à l'https.

Du coup si vous êtes propriétaire d'un site internet il va falloir s'y mettre. Normalement, avec un hébergement en mutualisé l'option https devrait être disponible, si ce n'est pas le cas, il va falloir que vous preniez contact avec votre hébergeur.

Pour les serveurs dédiés, nous avons plusieurs outils pour réaliser la migration. Je vous conseille donc d'utiliser Let's Encrypt (https://letsencrypt.org/) qui ai le plus connu. La migration m'a pris une bonne dizaine de minutes, pas plus. Vous avez énormément de tutos dispos si vous rencontrez des difficultés. Ah, et ne pas oublier de le renouveler avant son expiration (60j) !

Pour les récalcitrants : Un vieux message s'affichera dans la prochaine mise à jour de Google Chrome pour dire aux visiteurs de votre site internet qu'il n'est pas secure. Et a priori ça ne va pas aller en s'améliorant.
Répondre
#2
Yop,
oui, Mozilla a même annoncé que les sites demandant un mot de passe sur une page HTTP (pas HTTPS) génèreront une alerte.

Chez OVH, pour les mutus, le process est très simple: dans le manager, on ouvre son hébergement (dans la section du même nom), et là, depuis l'onglet "Multi-site", on peut activer SSL sur chaque domaine lié à l'hébergement (pinceau d'édition du domaine -> cocher SSL -> valider).
Une fois l'opération faite, on patiente quelques heures (2h apparemment) puis on clique sur "Regénérer le certificat SSL". Hop, c'est terminé!

Il faut compter 24h pour que ledit certificat se propage. A partir de là, on peut accéder au site en HTTPS, sans erreur. Ca coûte 0€ (c'est compris dans l'offre mutu de chez eux). C'est le process que j'ai suivi pour passer tous mes projets en HTTPS.

Enfin, pour basculer les liens HTTP vers HTTPS, histoire de ne pas perdre en référencement, un simple htaccess suffit:
Code :
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Perso, j'active aussi HSTS, qui permet de dire au navigateur "tu t'es connecté en HTTPS sur ce site, à partir de maintenant, tous les liens HTTP tu les transformes tout seul en HTTPS". Cela évite de laisser fuite des cookies par mégarde (entre autre):
Code :
# HSTS forces the use of HTTPS by the browser even if a link was HTTP
# It works only on HTTPS, and only with no certificat error
# The duration is 1 year
# https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
Header always set Strict-Transport-Security "max-age=31536000"

Et tant qu'à être dans la sécu, on peut aussi en profiter pour basculer tous les cookies en SecureOnly (ils ne seront pas envoyés en clair sur le réseau) et en HttpOnly (ils ne seront pas accessibles par Javascript):
Code :
# Cookies config: No "Secure" on non-HTTPS domains, but always HttpOnly
Header edit Set-Cookie ^(.*)$ $1;Secure env=!SKIP_HTTPS
Header edit Set-Cookie ^(.*)$ $1;HttpOnly

Et on termine avec la Content Secutiry Policy, qui permet de dire "voilà les ressources (CSS, JS, images, etc) que mon site a le droit de charger". Cela mitige les attaques XSS:
Code :
# CSP see https://www.w3.org/TR/CSP/
Header always set Content-Security-Policy "default-src *.twitter.com 'self'; style-src 'self' 'unsafe-inline'; script-src *.twitter.com 'self' 'unsafe-inline'"
# These got deprecated by CSP but are still recommended as of 2016
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"

Autant pour la redirection HTTP->HTTPS, le HSTS et les cookies, y'a juste à C/C les codes précédents, autant pour la CSP il faudra vous creuser un peu plus la tête, car chaque site a ses propres besoin et ses propres règles (ie: vous n'avez peut-être pas besoin de twitter sur votre site).



Et je le mets en article du coup, parce que cela a effectivement de l'importance: https://toile.reinom.com/https-cest-maintenant/
Répondre
#3
@Xenos, vu que t'as commencé.... tu nous fait un truc et astuce sécurité épinglé quelque part ? qu'on le trouve facilement même dans six mois ? 
[WIP]projet Rivages
[WIP]projet Arthur (comme si ça suffisait pas d'un...)
Répondre
#4
Je peux intégrer ça à http://www.jeuweb.org/showthread.php?tid=11491 par exemple?
Répondre
#5
Ouaip ça pourrait être pas mal. Je suis dispo en backup pour la rédaction si besoin.
Répondre
#6
Hum... Dans ce cas, je vais te laisser faire, car j'ai un peu l'impression de refaire ce que j'ai mis dans la section Sécurité de mon devblog (je croyais initialement qu'on parlait juste de mettre un lien vers ce topic dans un sticky général des ressources utiles, ou qqc du genre, je n'avais pas compris que c'était pour un topic sticky dédié à sécuriser son jeu).
Répondre
#7
Ah, j'avais pas compris ça comme ça. Mais du coup ton article est le plus complet oui.

D'ailleurs il est accessible depuis le forum ton site ?
Répondre
#8
Il y a un topic dédié à la présentation de ce blog et je glisse régulièrement des liens vers différents articles au fil de mes réponses (parce que sinon, je répète toujours pareil dans mes messages 10 ) Mais à part cela, non, il n'y a pas de "partenariat" direct, genre logo ou lien dans le header du forum (logo + lien vers JeuWeb dans le header du blog). Ca peut être une idée, il faut voir ce que Sephi en pense.

Sur mon blog, il y avait un lien dans chaque article qui renvoyait vers JeuWeb, pour permettre de réagir aux articles, car Sephi l'avait fait comme ça une fois (les commentaires du blog étaient trop peu pratiques pour faire un long débat). Ca a sauté depuis que j'ai nettoyé un max de code customs, mais je tâcherai de le remettre en place.
Répondre
#9
Ouais enfin je voyais peut être un encart en haut sur toutes les pages avec les liens vers les ressources utiles.
Répondre
#10
Bonjour,

Je retourne sur ce sujet pour demander un petit quelque chose 2

J'aimerais paramétrer HTTPS sur mon VPS... Sauf que je galère ... Donc :
Est-ce possible ? Si oui, comment je peux mettre en place cela ? :/

Merci d'avance,
Répondre




Utilisateur(s) parcourant ce sujet : 1 visiteur(s)