...

Mise à jour du Forum en HTTPS

Démarré par maximus23, 22 avril 2017 à 06:07:27

« précédent - suivant »
En bas

maximus23

Bonjour,

Le forum est passé en HTTPS.

Il est à signaler que certaines fonctionnalités concernant les avatars ne supportent pas le https et doivent-être modifiées.

Plusieurs mods renvoient vers des adresses url en dur ce qui pose problèmes et donc sont soumis à modifications.

Ce qui est souvent constaté ce sont des appels à des librairies en ligne. Si vous pouvez les rapatrier sur votre site ce serait quand même mieux car sinon vous aurez un mixte http/https et si elles disparaissent plus tard votre mod ne fonctionnera plus.

Une chose à faire aussi c'est de passer tout ce qui pointe sur le NDD interne de votre site en HTTPS.

Pour cela rien de plus simple faites une requête SQL de ce type avec PhpmyAdmin :

Toujours faire un Backup avant.

Code
UPDATE smf_messages SET body = replace(body, "http://votre NDD", "https://Votre NDD");

Il est à savoir que pour passer le tout en https il y a un nouveau repair_settings disponible sur le site simplemachine.org.

Utilisez le cela vous simplifiera la vie pour les diverses mises à jour des path.

Si vous remarquez des erreurs sur ce site merci de me le signaler ici.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Il est joli ton certificat tout neuf.
Ah si, si, si ! J'insiste !  ;D

maximus23

Bonjour,

J'ai mis les certificats Letsencrypt sur mon domaine de test personnel forum-informatique.org et j'en ai mis un avec sous-domaines sur mon NDD d'archivage et de tests pour les version betas 2.1.

Cela fonctionne très bien et a+ en ssl aussi tu peux comparer avec mon certificat officiel et les letsencrypts si tu veux.

En sous-domaine ssl beta3.entre-aide.org

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Tu as créé les certificats avec quoi ?
acme.sh ? Certbot ou certbot-auto ? Crypt-LE ? Sous Windows, y a que ces 3 là qui marchent à condition d'installer des trucs supplémentaires (certbot fait quand même des caprices). Ca marche tout seul sous Linux, mais ça demande un tout petit peu plus d'efforts pour Win. ::)
Ou alors carrément en ligne ?

Tu as mis le renouvellement automatique ?


Du coup, ce soir j'ai lâché un peu le SSL pour faire les liens pour portables sur mon site. Maintenant, on peut cliquer sur les cases des tableaux et plus viser le lien.
Ca repose l'esprit d'arrêter un soir de tester des outils LetsEncrypt pour faire un tuto ! :P
Surtout que c'est pas du tout prévu pour Windows en natif leurs trucs ! :o

maximus23

Bonjour,

Tu parles de Linux ou de Wamp ?

Pour Linux c'est tout simple il suffit de mettre le dépôt Git pour Letsencrypt et d'utiliser la commande cerbot et tout se fait sans mal.

Pour le renouvellement un cron avec le renew ou un batch si tu as plusieurs domaines et plus de soucis.

D'après ce que j'ai vu Letsencrypt permet de traiter 10 sous domaines maintenant donc en le chiffrant en 4096 cela devrait-être bon pour le courrier également.

Pour wamp j'utilise des certificats auto-signés cela ne sert à rien de mettre du Letsencrypt en local.

Si tu veux en mettre un tu dois faire passer ton site en mode production pour la validation. Attention que les noms locaux ne sont plus acceptés.

Maintenant si tu as une solution plus simple pour wamp pour l'avoir en local je suis preneur.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Je ne te demande pas comment il faut faire mais ce que tu as fais. ;D

Certbot ne fonctionne pas aussi bien que tu le dis.
Il s'appuie sur ServerName, alors si tu as juste un domaine et son sous domaine WWW, pas de souci. Mais si tu as des sous domaines et des Alias, ça ne se fera pas tout seul...

Pourquoi tu veux une clé 4096 pour les mails ? Ca ne sert rien, une clé 2048 suffit.

Pour wamp, il faut utiliser lets encrypt. Bien entendu, il faut installer OpenSSL sur son Windows.
Après tu le choix.
Soit tu installes  Perl et le paquet Crypt-LE.
Soit tu installes Cygwin et le paquet ACME.
Ensuite pas de souci pour avoir des certificats LetsEncrypt. ;)

Tu peux regarder, j'ai deux certificats sur le même serveur local : (j'ai autorisé l'IP de ton FAI, celle que tu avais quand tu es passé dire bonjour)

Supprime les liens quand tu auras regardé, c'est privé. ;)


maximus23

Bonjour,

Ok j'ai vu :)

Cela revient à mettre une émulation linux.

Mais tu dois laisser ton site privé passer en ligne pour faire la certification.

Pour cerbot moi j'ai pas eu le moindre soucis avec mes sous-domaines et mes alias.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Pour la validation, tu crées un vhost spécial qui est vide de tout contenu sauf un .htaccess qui interdit l'entrée.
Tu modifies la cron de renouvellement pour que le .htaccess soit supprimé avant la renouvellement et remis en place après. ;)

Pour cygwin, oui, c'est une espèce d'émulateur.
De tout façon, sous windows y a pas le choix, il faut installer quelque chose.

Certbot ne reconnait pas les alias en automatique, il faut les indiquer dans la commande.
Il ne regarde que ServerName et il ne reconnait qu'un seul vhost.
Si tu as plusieurs domaines et donc plusieurs vhost, certbot ne marche pas en auto, il faut tout lui indiquer.

maximus23

Exact moi j'utilise cerbot en ligne de commande avec toutes les infos et la fonction -manuel mais bon c'est pas sorcier à faire.

De plus pour les serveurs j'utilise le -standalone car ma configuration ne correspond absolument au montage de base automatique de cerbot.

Mais bon tout va très bien et pour le renew un batch et le tour est joué.

Cela n'a pas l'air de fonctionner trop mal avec ce certificat et apparemment il est bien reconnu.

Si le wilcard n'est pas implémenté c'est qu'il est proposé en version payante tout simplement mas on sait faire ce que l'on veut sans difficultés même si il faut ajouter des Vhosts par sous-domaines pour ceux qui en ont beaucoup. Mais ici on dépasse rarement le 7/8 donc cela passe sans difficultés.

Bon ben y aura plus qu'a faire un truc pas trop compliqué pour les non initiés car en plus pour trouver des infos correctes, qui fonctionnent et sont compréhensibles par le commun des mortels est une vraie sinécure.




En ce qui concerne la version 2.0.x pour le moment c'est pas gagné on attend donc la version 2.0.14 et j'espère que le proxy sera implémenté pour faciliter la vie concernant les liens non sécurisés du forum.
Concernant la partie avatar il faut interdire pour le moment les avatars externes et si il y en a il faut les supprimer ou alors les rapatrier sur le serveur. Si il y a 1000 membres bon courage...

J'ai la solution pour mettre un proxy mais on va attendre encore un peu cette version en espérant que cela ne s'éternise pas comme le php 7.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Standalone est bien pratique. J'ai essayé tous les modes et surtout le mode Apache pour voir. A cause de mes vhost multiples et des alias, ça ne marche pas.
En plus, ça me fait un peu peur qu'un script aille regarder ou bricoler ma config.
Je préfère demander ce que je veux et que les certificats soient posés à un endroit précis et je me démerde avec pour que le site les prenne en charge. C'est plus sûr.

Oulala ! Tu veux  que le tuto explique le SSL aux débutants toi ?! :o
Il va falloir demander un minimum de connaissances, sinon c'est pas possible.
Surtout qu'il aller bricoler dans la config pour créer le fichier httpd-ssl.cnf
La personne qui fait des copier/coller sans rien comprendre ne comprendra rien si sont site plante au redémarrage et viendra poser des questions dont les réponses ne feront que l'embrouiller un peu plus...




Un avatar de 100x100, ça ne prend pas de place. Chez oim, ils sont tous rapatriés sur le serveur.

Et attends, y a pas que les avatars, y a aussi les images externes.
En général, l'internaute ne s'emmerde pas et il fait du hotlinking.
Du coup, si l'image vient d'un site SSL, tu as du bol, sinon tant pis...
De toute façon, les images, c'est pas dramatique. Les navigateurs ne les bloque pas encore. Y a juste le cadenas qui disparait sur les pages où il y a du contenu mixte.
Il suffit d'expliquer à tes membres que même si le cadenas disparait, la connexion reste sécurisée. Il n'y a que les images HTTP qui ne sont pas chiffrées, tout le reste l'est.

Du coup, je vais être obligé de passer mon site chez LetsEncrypt rapidement. J'ai mis Opera à jour et c'est à son tour de ne plus reconnaitre mon certificat.
Ce soir je ne peux pas, ma connexion déconne plein pot. A chaque fois que je poste un truc, je le copie avant au cas où ça ne marcherait pas, pour pouvoir le recoller la fois d'après.

alexetgus

Tout compte fait, je viens d'installer LetsEncrypt sur mon site.
Deux navigateurs qui ne reconnaissaient plus l'autre certificat, c'était trop.

Je remettrai le certificat de StartCom quand les sanctions seront passées. Il est valable jusqu'à l'été 2019. ;)

maximus23

Bonjour,

Au moins tu as le temps de te retourner et de voir ce qu'il va en être :)

J'ai mis la solution proxy pour que les images en balise [img] htpp soient reconnuent en https :)

Je mettrai la suite pour les avatars dès que j'ai un moment.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Oui j'ai vu et je t'ai répondu.
J'ai peur que ce soit une solution qui soit très lourde pour les sites fréquentés...

Pour les avatars, je te l'ai déjà dit dans le message au dessus.
Une image de 100x100 fait le poids d'un moustique. Rapatrie les avatars externes sur ton site et c'est fini.

Paulo.chon

Citation de: alexetgus le 25 avril 2017 à 21:06:36Pour les avatars, je te l'ai déjà dit dans le message au dessus.
Une image de 100x100 fait le poids d'un moustique. Rapatrie les avatars externes sur ton site et c'est fini.


Bonsoir,

Mes excuses par avance si ma question est stupide mais...
Comment fait-on pour rapatrier les avatars externes sur le site ?  ???

maximus23

Bonsoir,

Plus besoin de faire ce genre de chose avec la mise à jour 2.0.14.

:)
Amitiés et à Bientôt.
Have a Nice Day.

En haut