Projet

Général

Profil

Actions

Demande #860

fermé

https sur audio.april.org

Ajouté par Vincent-Xavier JUMEL il y a plus de 12 ans. Mis à jour il y a environ 4 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
Task
Version cible:
Début:
03/12/2016
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
3 Moyen

Description

Bonjour les admins de l'April,
Etant un fidèle utilisateur de HTTPS Everywhere [0], je viens de me
rendre compte qu'une configuration est maintenant disponible pour
april.org [1].
Chouette, mais ça pose un problème à http://audio.april.org (qui est en
fait hébergé par nos soins via http://www.bonnes-ondes.fr).
Selon vous, le mieux c'est :
1. avoir vraiment de l'https sur audio.april.org ?
2. aménager la conf de April.org.xml ?
C'est la pensée https du jour, bonne journée ;)
0. https://www.eff.org/https-everywhere
1.
https://gitweb.torproject.org/https-everywhere.git/blob/HEAD:/src/chrome/content/rules/April.org.xml


Fichiers

message-footer.txt (126 octets) message-footer.txt Vincent-Xavier JUMEL, 11/04/2012 11:52

Mis à jour par Loïc Dachary il y a environ 12 ans

  • Version cible mis à Backlog

Mis à jour par Loïc Dachary il y a environ 12 ans

  • Catégorie mis à Task
  • Difficulté mis à 2 Facile

Mis à jour par Loïc Dachary il y a environ 12 ans

  • Difficulté changé de 2 Facile à 3 Moyen

Mis à jour par Loïc Dachary il y a environ 12 ans

  • Début mis à 03/12/2016

Mis à jour par François Poulain il y a environ 8 ans

  • Description mis à jour (diff)

J'ai contacté les hébergeur pour qu'ils fassent le nécessaire. Si ce n'est pas possible, on avisera ; j'imagine qu'on peut proxifier.

Mis à jour par Benjamin Drieu il y a environ 8 ans

Le mieux est de faire un « pull-request » (?) sur le git de https everywhere pour ne pas forcer le https sur audio.april.org (car chiffrer du flux audio, bof). Bref, envoyer un patch, mais jamais eu le temps de m'y plonger.

Mis à jour par François Poulain il y a environ 8 ans

Un email est possible :

If you've tested your rule and are sure it would be of use to the world at large, submit it as a pull request on our GitHub repository or send it to the rulesets mailing list at https-everywhere-rules AT eff.org. Please be aware that this is a public and publicly-archived mailing list.

Mis à jour par François Poulain il y a environ 8 ans

Ceci étant, amha ça serait bien de servir le domaine en https. D'une part pour pouvoir éviter les mixed contents, et d'autre part pour ne pas avoir de downgrade (https->http) dans la navigation. Les plugins comme https everywhere vont râler pour ça, et on peut s'attendre à ce que ce soit un comportement futur des navigateurs.

Amha le plus simple est de redéfinir le RR pour pointer sur vip et de servir le domaine via nginx/bastion.

Mis à jour par Edouard Dausque il y a environ 8 ans

Je +1 l'idée de migrer le CNAME sur bastion + reverse proxy vers www.bonnes-ondes.fr

Mis à jour par François Poulain il y a environ 8 ans

  • Statut changé de Nouveau à Fermé

Bon beh j'ai fait comme ça.

François

Mis à jour par François Poulain il y a environ 8 ans

Retour de bonnes ondes :

Salut François

Désolé pour la non réponse
Tu as sans doute mis en oeuvre la solution la plus simple dans la mesure 
où si nous passons audio.april.org en https, il nous faut avoir un 
certificat dont le subject et les altnames sont corrects, c'est à dire à 
"audio.april.org", ce qui n'est pas le cas. Si tu veux nous fournir un 
certificat signé par la CA de ton choix et une clé privée (et le certif 
de la CA si ce n'est pas celle de Gandi), je serai ravi de l'installer 
sur nos machines. Si tu veux que nous te fournissions ces certificats, 
c'est possible. Notre fournisseur est Gandi et nous prenons quelques 
frais administratifs. Je suis certain que vous avez tout ce qu'il faut 
pour générer ce qu'il faut par vous même et nous fournir les fichiers 
qui vont bien.
Petite remarque tout de même : avoir plusieurs certifs sur la même IP et 
le même port sous entend que nous fassions du SNI, ce qui exclue une 
certaine partie (certes restreinte et en constante diminution) 
d'internautes potentiels, notamment ceux qui utilisent encore des 
machines avec windows XP et un vieil Internet Exploder.

Amitiés

Florent

Mis à jour par François Poulain il y a environ 8 ans

Ma réponse :

> Désolé pour la non réponse  

Pas de soucis. :)

> Tu as sans doute mis en oeuvre la solution la plus simple  

Après réflexion, je pense aussi. Par contre, il y a un effet de bord :
je ne sais pas qui uploade et de quelle manière les podcast sur
audio.april.org, mais vu que j'ai changé l'enregistrement DNS,
désormais il va tomber sur notre bastion s'il essaie une connexion en
ftp, ssh ou autre (non http). Sais tu comment ça se passe en pratique ?

> Petite remarque tout de même : avoir plusieurs certifs sur la même IP
> et le même port sous entend que nous fassions du SNI, ce qui exclue
> une certaine partie (certes restreinte et en constante diminution) 
> d'internautes potentiels, notamment ceux qui utilisent encore des 
> machines avec windows XP et un vieil Internet Exploder.  

Je n'ai pas eu l'occasion d'essayer, mais je suppose que modulo une
exception de sécurité, le contenu reste accessible non ? Ou bien sinon
ils feront du http... À titre perso je ne suis pas très conservateur de
ce point de vue.

François

Mis à jour par Christian P. Momon il y a environ 4 ans

  • Assigné à mis à François Poulain
Actions

Formats disponibles : Atom PDF