Admins

Le mieux est de faire un « pull-request » (?) sur le git de https everywhere pour ne pas forcer le https sur audio.april.org (car chiffrer du flux audio, bof). Bref, envoyer un patch, mais jamais eu le temps de m'y plonger.

Un email est possible :

If you've tested your rule and are sure it would be of use to the world at large, submit it as a pull request on our GitHub repository or send it to the rulesets mailing list at https-everywhere-rules AT eff.org. Please be aware that this is a public and publicly-archived mailing list.

Ceci étant, amha ça serait bien de servir le domaine en https. D'une part pour pouvoir éviter les mixed contents, et d'autre part pour ne pas avoir de downgrade (https->http) dans la navigation. Les plugins comme https everywhere vont râler pour ça, et on peut s'attendre à ce que ce soit un comportement futur des navigateurs.

Amha le plus simple est de redéfinir le RR pour pointer sur vip et de servir le domaine via nginx/bastion.

Je +1 l'idée de migrer le CNAME sur bastion + reverse proxy vers www.bonnes-ondes.fr

Retour de bonnes ondes :

Salut François

Désolé pour la non réponse
Tu as sans doute mis en oeuvre la solution la plus simple dans la mesure 
où si nous passons audio.april.org en https, il nous faut avoir un 
certificat dont le subject et les altnames sont corrects, c'est à dire à 
"audio.april.org", ce qui n'est pas le cas. Si tu veux nous fournir un 
certificat signé par la CA de ton choix et une clé privée (et le certif 
de la CA si ce n'est pas celle de Gandi), je serai ravi de l'installer 
sur nos machines. Si tu veux que nous te fournissions ces certificats, 
c'est possible. Notre fournisseur est Gandi et nous prenons quelques 
frais administratifs. Je suis certain que vous avez tout ce qu'il faut 
pour générer ce qu'il faut par vous même et nous fournir les fichiers 
qui vont bien.
Petite remarque tout de même : avoir plusieurs certifs sur la même IP et 
le même port sous entend que nous fassions du SNI, ce qui exclue une 
certaine partie (certes restreinte et en constante diminution) 
d'internautes potentiels, notamment ceux qui utilisent encore des 
machines avec windows XP et un vieil Internet Exploder.

Amitiés

Florent

Ma réponse :

> Désolé pour la non réponse  

Pas de soucis. :)

> Tu as sans doute mis en oeuvre la solution la plus simple  

Après réflexion, je pense aussi. Par contre, il y a un effet de bord :
je ne sais pas qui uploade et de quelle manière les podcast sur
audio.april.org, mais vu que j'ai changé l'enregistrement DNS,
désormais il va tomber sur notre bastion s'il essaie une connexion en
ftp, ssh ou autre (non http). Sais tu comment ça se passe en pratique ?

> Petite remarque tout de même : avoir plusieurs certifs sur la même IP
> et le même port sous entend que nous fassions du SNI, ce qui exclue
> une certaine partie (certes restreinte et en constante diminution) 
> d'internautes potentiels, notamment ceux qui utilisent encore des 
> machines avec windows XP et un vieil Internet Exploder.  

Je n'ai pas eu l'occasion d'essayer, mais je suppose que modulo une
exception de sécurité, le contenu reste accessible non ? Ou bien sinon
ils feront du http... À titre perso je ne suis pas très conservateur de
ce point de vue.

François