Numerama en https

Je ne sais pas de combien de jours/semaines/mois je retarde, mais je viens juste de me rendre compte que numérama était accessible en https (certificat vérifié par Let’sEncrypt).

C’est une très bonne chose, qui répond à une demande très ancienne, même s’il y a des progrès à faire: Qualys évalue la connexion à “B”, avec une faiblesse au niveau de l’échange de clefs et de la confidentialité persistante. A titre de comparaison, Qualys note “A” la connexion à nextinpact.

Ceci dit, pour être tout à fait juste, la connexion https de numerama est du “vrai” https, alors que dans le cas de nextinpact, tout est intercepté et MITMisé par Cloudflare (aspect que ne prend pas en compte Qualys dans sa notation).

Le HTTPS renvoie sur la version HTTP de mon de coté.

Numerama est disponible depuis de nombreux mois en HTTPS… sauf qu’il n’y a pas si longtemps ils redirigeaient vers HTTP sur la partie Wordpress . Le Discourse accepte HTTPS depuis au moins un an sans rediriger vers HTTP et mon fameux script exploite ça pour naviguer de façon légèrement plus sécurisée sur Numerama (optionnel et inutile vu que les identifiants sont envoyés côté WP et en clair).

@Chitzitounepenible https://www.numerama.com/ ne redirige pas, mais https://numerama.com/ redirige vers http://www.numerama.com/.

Oula en effet…

C’est considéré comme non sécurité par firefox, car y’a du contenu mixte HTTP et HTTPS même sur la version HTTPS

Et par contre en effet, c’est du certificat “caca” / bien cheap (de l’auto signé maison c’est kif kif :D)

Ça dépend où tu te trouves. Mais dans les détails, les trucs qui passent pas en HTTPS généralement (et de ce que j'ai constaté), ce sont des images de fond ou des pubs...

Faudrait aussi que l'équipe de nunu nettoie les liens absolus. Par exemple, dans la partie Discourse en HTTPS, tu cliques sur le logo Numerama ou les sections en haut à gauche, tu retombes en HTTP.

Soit dit en passant, il me semble que Wordpress par défaut n'est pas très malin quand on crée des liens internes (perso, je les ré-édite toujours pour enlever le protocole, et même l'adresse).

Ca explique pourquoi je n’avais pas trop vu de différences, selon que dans mon navigateur je bloque les “mixed content” ou pas, vu que ce dont tu parles est de toute façon bloqué par mes autres extensions.

Hello,

Merci pour les infos :).
Tout n’est pas encore fait côté HTTPS, il y a encore un peu de boulot, ça prend du temps.

Mais on vous tient au courant (vous le verrez de toute façon) dès que tout sera opérationnel à 100%. Le sujet a été abordé dans le topic dédié à la centralisation des bugs et on travaille dessus.

Bonnes fêtes à tous !

Au contraire, à l’heure de Let’s Encrypt gratuit, à moins de vouloir une validation étendue ou un wildcard sans vouloir attendre janvier 2018 faut vraiment être un pigeon pour payer un certificat SSL et on en voit partout des certificats délivrés par LE. Tout ça sans avertissement tonitruant d’un CA non reconnu par le navigateur comme pour un certificat auto-signé et sans les actions douteuses comme chez le précurseur StartSSL.

Un certificat tiers, sans vérification forte de l’identité, ça sert à rien (c’est le but quand même du tiers de confiance, que lui vérifie l’identité du demandeur, et que l’utilisateur lui fasse confiance dans cette démarche)

Si c’est pour faire du Let’s Encrypt gratos, autant se faire un certif autosigné, t’es encore moins emmerdé (genre devoir automatisé tous les 3 mois, pas de wildcard,…), et c’est aussi “efficace” si le but c’est “juste” de chiffrer, sans preuve de l’identité forte.

Au détail près que tu feras fuir tes visiteurs avec l'énorme avertissement que leur navigateur affichera là où ce n'est pas le cas d'un certificat LE.
Avec les journaux de transparence, ces certificats fournissent même plus de garanties que ton auto-signé, pour une friction côté serveur minime (certbot facile d'utilisation voire carrément caddy qui le fait par défaut). Les wildcards sont prévues le mois prochain.

@Chitzitounepenible
Ces questions de fiabilité ou pas du "tiers de confiance" sont de toute façon une vraie plaie de manière générale. Personnellement, j'aime bien le croisement d'informations et la redondance que permet (en principe) un projet comme Perspectives

Sur Firefox (jusqu'à 52, et sans doute 56) l'extension perspectives fait du bon boulot, pourvu bien sûr que l'on trouve des notaires (qui tendent à se raréfier car le projet n'est pas en grande forme).

Dans le cas de numérama, mes 9 notaires approuvent la connexion, ce que je considère comme confortable.

Sans avoir à se reposer sur ce projet (intéressant mais en décrépitude, domaine expiré, plus de mise à jour sur github…) il y a Certificate Patrol (met en cache le certificat rencontré et avertit d'un changement inopiné), qui comme tous les bons addons malheureusement, n'est pas compatible avec Firefox 57+.