Journal linuxfr en https - toutes images incluses

Posté par .
Tags : aucun
12
22
juil.
2012

Si tu visites linuxfr en https (au moins avec Firefox), il faut désormais initier un processus (par un clic sur une url qui va bien) pour obtenir le certificat pour img.linuxfr.org et retrouver les images incluses (1) telles que les avatars.

À ce stade les certificats x509 pour linuxfr.org et img.linuxfr.org sont strictement identiques. Je l'ai vérifié par un export des deux certificats (sous forme de fichier) suivi d'un diff -s fichier_1 fichier_2 en console.

(1) hors icones des catégories des dépêches et autres images comme le logo de linuxfr.org - qui sont d'office affichées, comme avant. Techniquement, ces images-là sont prises depuis /images/la_suite (url relative à la racine du site linuxfr.org)

À toute fin utile.

  • # merci!

    Posté par (page perso) . Évalué à 1.

    ce fût très utile je croyais qu'il y avait un bug avec les avatars qui ne s'affichaient plus.

    wind0w$ suxX, GNU/Linux roxX!

    • [^] # Re: merci!

      Posté par . Évalué à -1.

      Idem, l'espace d'un instant, comme une hypothèse pas trop crédible de bug persistant plusieurs jours, qui s'est évaporée à la contemplation rétrospective du déploiement d'activités de nono<.

      Ceci dit, prenons le cas du néophyte qui, venant vers linuxfr.org dans quelques jours pour la première fois en https (1), tombe sur le comportement par défaut (après avoir accepté le certificat pour linuxfr.org) et n'est pas averti par ce journal - disparu dans les profondeurs du site -, alors que son expérience en http c'est qu'il a les avatars et autres nimages incluses (!), ça pourrait largement le dissuader de persévérer. C'est dommage. S'il y a une solution, c'est bien. J'en vois une grossière mais efficace, taillée au burin : avertissement du protocole à suivre par une page spéciale ou une fenêtre pop-up lorsque le certificat pour linuxfr.org est validé (je suppose que la détection de cette validation initiale est possible).

      (1) parce que c'est bien, parce que c'est les vacances, parce que c'est bientôt la rentrée, parce que linux_sait_faire

  • # Autre solution

    Posté par (page perso) . Évalué à 6.

    Sinon, on peut aussi ajouter le certificat racine de cacert à son navigateur, ce qui résout le problème aussi bien pour le domaine principal que les sous-domaines. C'est expliqué sur http://linuxfr.org/aide#aide-certificatssl.

    • [^] # Re: Autre solution

      Posté par . Évalué à -1.

      Ha. Merci.

      Par contre, je ne suis pas sûr de tout comprendre.

      Comment « ajouter le certificat racine au trousseau de votre navigateur » ?
      ---> << en cliquant sur le lien 'Root Certificate (PEM Format)', en cochant au moins la case « Ce certificat peut identifier des sites Web. » et en vérifiant l'empreinte numérique SHA1. >>

      Je n'ai pas le souvenir d'avoir jamais vu un tel lien pendant le processus d'acceptation du certificat. Je ne vois pas ce lien mieux présenté dans les captures d'écran ou les explications. Ça reste obscur pour moi. J'imagine la même chose pour un néophyte.

      Par ailleurs, dans le processus qui mènera les néophytes a consulter en https, je pense que pour une bonne partie d'entre eux, en l'état, il y aura la confrontation avec le syndrome d'absence des nimages d'avatar et des nimages incluses, à moins qu'ils viennent à l'usage de https par la page d'aide que tu indiques.

      Enfin, sans avoir le cerveau suffisament reposé pour y voir bien clair, je me questionne sur la pertinence définitive de la vérification des chaines SHA1 puisqu'elle sera faite depuis un contexte de transition http--->https (la page avec les chaines présentées, pour contrôle visuel, sera vu d'abord en http, avec une attaque man in the middle possible). C'est histoire de pinailler, oui, mais non, c'est déjà histoire de bien comprendre ce qui se passe, pour prendre de bonnes habitudes.

      • [^] # Re: Autre solution

        Posté par . Évalué à -1.

        En insistant sur le contenu de l'aide, je réalise que le libellé "certificat racine" (en gras) est un lien cliquable (ce n'est pas explicite, sauf au survol du pointeur souris - la phrase pourrait être remaniée pour être plus explicite). Mais dans cette nouvelle page, je ne trouve toujours pas de lien libellé 'Root Certificate (PEM Format)'. Peut-être cette page at-t-elle été mise à jour depuis la rédaction de l'aide.

        • [^] # Re: Autre solution

          Posté par . Évalué à 0.

          En fait la page a été traduite en français entre temps. Donc c'est le lien Certificat racine (format PEM).

        • [^] # Re: Autre solution

          Posté par . Évalué à 2.

          ce n'est pas explicite, sauf au survol du pointeur souris - la phrase pourrait être remaniée pour être plus explicite

          Il est pas d'une couleur différente ? Tu utilise quel thème ?

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Autre solution

            Posté par (page perso) . Évalué à 1.

            Les liens sont noirs, gras, non-soulignes sur la page d'aide avec le theme par defaut, a la place d'etre bleus comme sur la plupart des pages du site.
            J'ai fait un shift-reload pour verifier que je n'avais pas une ancienne version de la CSS en cache, mais ca ne change rien.

            Excusez l'absence d'accents dans mes commentaires, j'habite en Allemagne et n'ai pas de clavier francais sous la main.

    • [^] # Re: Autre solution

      Posté par (page perso) . Évalué à 3.

      Sous chrome (20, au moins sous mac) le problème persiste et ce même si on ajoute le certificat. Voici le message d'erreur :

      L'identité de ce site Web n'a pas été vérifiée.
      • Le certificat du serveur a été signé avec un algorithme de signature faible.

      Après c'est un peu étrange car si on regarde les infos, il indique bien le certificat comme valide…

      Mais bon, chrome n'était pas si casse-pieds avant, par exemple j'ai fini d'utiliser ma css perso à cause de lui : consultation de linuxfr en https, css en http, il ne la chargeait simplement plus… Avec de la chance ça finira de me motiver pour créer une vrai CSS et la proposée (mais mes dernières tentatives n'ont pas été assez réussies)

      • [^] # Re: Autre solution

        Posté par (page perso) . Évalué à 2.

        Evidemment, une fois que je valide mon commentaire le problème ne se produit plus (le problème était bien que certaines images n'étaient pas visibles). Quelque chose à changé très récemment ?

      • [^] # Re: Autre solution

        Posté par . Évalué à 2.

        J'ai eu la même avec un Aurora d'il y a quelques jours.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.