Chez oim, forum libreChez oim, forum libre

 


Pages: [1] 2  Toutes   En bas

Auteur Sujet: Déploiement de TLSv1.3 et HTTP/2.0  (Lu 219 fois)

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« le: vendredi 10 juillet 2020, 15:28 »
le: vendredi 10 juillet 2020, 15:28




Salut tous,


J'espère que mes bricolages de cet après-midi ne vous auront pas gêné, le down engendré par mes modifs n'aura pas dépassé 2 minutes.
Et pis de toute façon, y a jamais dégueun par ici. Je n'ai pas du déranger grand monde, hein ? O:-)


Toujours est-il que ces bricolages devenaient absolument nécessaires.
- HTTP/2 était indispensable puisqu'il est devenu la nouvelle norme en matière de transfert des données d'un site web vers son visiteur et qu'il fait gagner une vitesse non négligeable.
Bon, ce site est déjà rapide comme ça notamment du fait de sa légèreté, le gain sera minime, mais il sera là quand même. N'oubliez pas que vos data arrivent tout droit de Canadoisie en live du serveur de Dominick ! Ca en fait du chemin très rapidement parcouru, non ?

- TLSv1.3 concerne votre sécurité et confidentialité sur le net. Son déploiement n'était pas négociable, il fallait le faire coûte que coûte ! Votre sécurité et confidentialité sur le net n'ont pas de prix et sont une priorité.
N'en déplaise aux USA qui s'attaquent aux connexions sécurisées pour les rendre faibles et donc "écoutables", ce site site utilise les chiffrages les plus solides depuis le début et, maintenant, sur des protocoles qui ne sont pas encore craqués.
TLSv1.3 est le protocole le plus sûr à l'heure où j'écris. Additionné d'une suite de chiffrage très solide, vous pouvez considérer vos communications comme sûres, voir même très sûres. :)


Tout ceci pour vous dire que HTTP/2 et TLSv1.3, c'est fait !
J'attends vos suggestions si vous pouvez proposer mieux en matière de sécurité des échanges. ;)


Si vous êtes curieux :
https://www.ssllabs.com/ssltest/analyze.html?d=chez-oim.org




Et pour finir, voici le gain observé avec HTTP/2 (pas mal, non ? :) )







maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • En ligne En ligne
  • Sexe: Homme
  • Messages: 2.360
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #1 le: vendredi 10 juillet 2020, 22:17 »
le: vendredi 10 juillet 2020, 22:17

Bonsoir,

Ce n'était pas un luxe en matière de sécurité.

Trop peux de serveurs ont passé cette étape à l'heure actuelle malgré l'obsolescence programmée des navigateurs et autres trucs du genre.

Bien entendu ceux qui ne seront pas à jour n'auront plus d'accès et c'est le choix de chacun au niveau du serveur.

:)

IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #2 le: samedi 11 juillet 2020, 06:43 »
le: samedi 11 juillet 2020, 06:43

Pour la sécurité du serveur, ça n'apporte rien du tout.
C'est surtout pour la sécurité et la rapidité des visiteurs et des membres que c'est important. ;)

Ceci dit, TLSv1.3 et HTTP/2 ne sont pas encore très utilisés par les smartphones. C'est surtout utilisé par les navigateurs de PC. Un smartphone, c'est cher ! Il en reste beaucoup d'anciens sur le circuit. Tout le monde ne peut pas acheter un téléphone tous les jours. Si HTTP/2 est largement utilisé, c'est très souvent avec TLSv1.2 qui reste un protocole très solide.
Demande à la NSA, ils détestent TLSv1.2 et sont prêts à le faire sauter !

Je ne comprends pas les mecs qui ne font rien pour leur serveur et qui attendent que le temps passe et rende leur site inaccessible.
D'autant plus que la plupart des serveurs tournent sous Ubuntu, ce qui est très simple à mettre à jour.
Moi, avec CentOS, j'en ai bavé ! Ca faisait quasiment un an que c'était prévu ! Mais CentOS n'est pas prévu pour utiliser du "non stable". :jq:
IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #3 le: samedi 11 juillet 2020, 08:45 »
le: samedi 11 juillet 2020, 08:45

P'tain !
J'ai vu qu'il existe pire, beaucoup plus pire ! Il existe encore des sites qui utilisent SSL2 ! :o
A nous deux, on est sur le haut du panier. On est le couvercle du panier ! ^-^




Sinon, fais attention Max, tu utilises des suites de chiffrage CBC. C'est des suites (ciphers) obsolètes qui ne sont plus du tout sécure !
Tu devrais faire comme ça :

Code
SSLCipherSuite          TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256
;)
IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • En ligne En ligne
  • Sexe: Homme
  • Messages: 2.360
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #4 le: samedi 11 juillet 2020, 10:40 »
le: samedi 11 juillet 2020, 10:40

Bonjour,

Oui je sais pour les cyphers je crois même l'avoir noté sur ton site quelque part  ^-^

Je ne sais pas ou tu as déniché ton exemple mais là c'est vrai que c'est la cata  :iz:

Pourtant une dizaine de ligne et le tout est réglé donc rien de chinois à faire.

Mais bon malgré les certificats Let's encrypts je constate que pas mal de sites n'ont plus de certificats en ordre et là je les boycotte.

Je préfère tomber sur un http que sur un https qui est complètement déglingué.

:)
IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #5 le: samedi 11 juillet 2020, 10:47 »
le: samedi 11 juillet 2020, 10:47

Ca, c'est le genre de trucs qui arrivent quand un mec qui n'y connait rien paye quelqu'un pour lui installer tout ce qu'il faut sur son serveur en plus de son site.
Ensuite, quand ça marche, le mec ne touche plus à rien...

Il repayera bientôt quelqu'un quand son site ne marchera plus. :iz:


Franchement, je connais peu de sites en HTTP. Il y a le site de Oto, mais après je n'ai pas le souvenir de connaitre d'autres sites en HTTP... :-\
IP archivée

Otomatic

  • Observateur
  • Saint patron des orateurs
  • *****
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 891
  • Vieux geek assagi
      • Aviatechno
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #6 le: dimanche 12 juillet 2020, 16:23 »
le: dimanche 12 juillet 2020, 16:23

Franchement, je connais peu de sites en HTTP. Il y a le site de Oto,
Qui devrait bientôt passer en https…
Pour ne pas “perturber” mes utilisateurs qui sont d'un âge certain, que penses-tu d'un .htaccess comme cela :
Code
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
A priori, ça fonctionne sans problème en local.
IP archivée
« La vie sans musique est tout simplement une erreur, une fatigue, un exil. » Friedrich Nietzsche.
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. » Coluche

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #7 le: dimanche 12 juillet 2020, 18:53 »
le: dimanche 12 juillet 2020, 18:53

A la bonne heure ! :)
Oui, ça devrait marcher. Par contre, c'est une redirection 301 qu'il te faut.
Quand le type de redirection n'est pas spécifié, c'est la 302 qui est utilisée.

Code
RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1                 [R=301,L]
IP archivée

Otomatic

  • Observateur
  • Saint patron des orateurs
  • *****
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 891
  • Vieux geek assagi
      • Aviatechno
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #8 le: lundi 13 juillet 2020, 18:00 »
le: lundi 13 juillet 2020, 18:00

Bonjour,

En fin de compte, j'ai validé les options chez l'hébergeur pour rediriger sur https si demande http pour les vrais sites.

En local, j'ai simplement ajouté une redirection permanente dans la définition des VirtualHost, par exemple :

Code
ServerName wampserver.aviatechno

Redirect permanent / https://wampserver.aviatechno/
Bonne soirée  :ko:
IP archivée
« La vie sans musique est tout simplement une erreur, une fatigue, un exil. » Friedrich Nietzsche.
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. » Coluche

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #9 le: lundi 13 juillet 2020, 19:17 »
le: lundi 13 juillet 2020, 19:17

Oui, c'est pareil que 301.
Il ne te reste plus qu'à passer en HTTPS ton lien vers Freefind dans le formulaire de recherche. ;)
IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • En ligne En ligne
  • Sexe: Homme
  • Messages: 2.360
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #10 le: lundi 13 juillet 2020, 20:11 »
le: lundi 13 juillet 2020, 20:11

Bonjour,

En fin de compte, j'ai validé les options chez l'hébergeur pour rediriger sur https si demande http pour les vrais sites.

Juste pour Infos :

C'est quoi comme certificat SSL ?

Il clignote rouge ici et est substitué par mon KTS ?

Pas de tests possibles via SSLabs. On dirait un PKI SSL247 ?

:)
IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 20.127
  • Proprio officiel chez oim !
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #11 le: lundi 13 juillet 2020, 20:26 »
le: lundi 13 juillet 2020, 20:26

Fais attention Max, une boulette a été faite.
Le certificat a été établi pour aviatechno.net mais pas pour www.aviatechno.net.
Si c'est gratuit, le mieux serait d'en demander un autre s'en oublier le sous domaine www que beaucoup de personnes utilisent.

Sur SSLLABS, ça fonctionne mais il faut attendre que les tests soient effectués avant de choisir une IP sinon ils n'arrivent pas à récupérer le certificat. Je ne sais pas pourquoi... :iz:
https://www.ssllabs.com/ssltest/analyze.html?d=aviatechno.net&latest
IP archivée

Otomatic

  • Observateur
  • Saint patron des orateurs
  • *****
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 891
  • Vieux geek assagi
      • Aviatechno
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #12 le: lundi 13 juillet 2020, 21:16 »
le: lundi 13 juillet 2020, 21:16

Bonsoir,

Merci. Je verrais ça demain pour les www.
C'est gratuit et il y en a un pour chaque sous-domaine.
Pour info, c'est chez Grandi.
Bonne soirée.
IP archivée
« La vie sans musique est tout simplement une erreur, une fatigue, un exil. » Friedrich Nietzsche.
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. » Coluche

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • En ligne En ligne
  • Sexe: Homme
  • Messages: 2.360
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #13 le: lundi 13 juillet 2020, 21:32 »
le: lundi 13 juillet 2020, 21:32

Bonsoir,

Ok j'ai zappé le www :)

Ok pour Gandi alors c'est bien un Pki d'entreprise et c'est pour cela que l'on doit faire une désignation pour les tests.

Je ne vois pas l'intérêt car ils doivent payer des packs entreprise alors que let's encrypt en mode auto wilcard est gratuit pour tous.

:)

IP archivée
Amitiés et à bientôt...
Have a nice day...

Otomatic

  • Observateur
  • Saint patron des orateurs
  • *****
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 891
  • Vieux geek assagi
      • Aviatechno
Déploiement de TLSv1.3 et HTTP/2.0
« Réponse #14 le: mardi 14 juillet 2020, 10:45 »
le: mardi 14 juillet 2020, 10:45

Bonjour,

Voilà, c'est fait, certificats pour aviatechno.net et www.aviatechno.net. avec redirections automatiques de :
(http://www.aviatechno.net ou https://www.aviatechno.net) sur https:/aviatechno.net

Faut-il le faire également pour les sous-domaines pour lesquels il y a un certificat, par exemple pour wampserver.aviatechno.net ?

En tout cas, je tiens, par la présente, à remercier chaleureusement Alex, Maximus23, JCFM et tous ceux que j'oublie pour tous les conseils et explications donnés chez oim qui m'ont permis, en local, de pouvoir obtenir dans les logs Apache :
Code
[14/Jul/2020:10:24:06 +0200] ::1 TLSv1.3 TLS_AES_256_GCM_SHA384 "GET /index.php HTTP/2.0" 5301
:ik:  :P  :gq:  :P  :ik:
IP archivée
« La vie sans musique est tout simplement une erreur, une fatigue, un exil. » Friedrich Nietzsche.
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. » Coluche
Pages: [1] 2  Toutes   En haut
 

+ Réponse Rapide

Page générée en 0.081 secondes avec 25 requêtes.