Aujourd'hui, il est toujours possible d'accéder à linuxfr.org sans TLS, via http, et c'est même l'accès "par défaut" pour les navigateurs. Il semble même qu'il soit possible de s'identifier sans TLS, ce qui signifie que le mot de passe passe en clair sur le réseau, ce qui n'est pas optimal en termes de sécurité et confidentialité.
À l'heure actuelle, est-il toujours pertinent de conserver un tel accès non-chiffré?
Au niveau de nginx, il s'agit juste d'une configuration toute simple:
server {
listen 80;
server_name linuxfr.org;
# enforce https
return 301 https://$server_name$request_uri;
}
# Autres demandes similaires
Posté par Bruno Michel (site web personnel) . Évalué à 3 (+0/-0).
Ça a été demandé dans un journal : https://linuxfr.org/users/matunixe/journaux/a-quand-l-https-par-defaut-sur-linuxfr. Et il y a une demande proche dans le suivi : https://linuxfr.org/suivi/avoir-une-meilleure-configuration-https.
En gros, ça va arriver un jour. On voudrait faire d'abord une mise à jour de Debian pour avoir un nginx plus récent. Et ensuite mettre la configuration de nginx et passer en https par défaut, voir retirer l'accès en http.
Et, au passage, il faut aussi que l'on renouvelle le certificat ou que l'on passe à Let's Encrypt.
[^] # Re: Autres demandes similaires
Posté par nud . Évalué à 3 (+0/-0).
J'avais vu l'autre entrée du suivi mais ça m'avait l'air beaucoup moins spécifique, c'est pour ça que j'ai créé cette nouvelle entrée.
Retirer complètement l'accès HTTP (càd sans redirection) ça veut dire dire casser tous les liens existants.
Par contre je ne comprends pas bien l'utilité d'attendre la mise à jour de nginx avant de rediriger en https. Même si la config n'est pas parfaite immédiatement il me semble important de protéger les utilisateurs, aussi compétents soient-ils.
# Pull Request
Posté par nud . Évalué à 2 (+0/-0).
https://github.com/linuxfrorg/admin-linuxfr.org/pull/4
# Fait
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 23 juin 2018 à 20:19.
http://linuxfr.orgredirige en HTTP 301 vershttps://linuxfr.org, ethttp://img.linuxfr.orgvershttps://img.linuxfr.org.(la configuration est faite via les scripts Ansible).
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.