Forum / Site malekal en HTTPs

[Malekal_morte]

Suite à impossibilité de renouveler le certificat gratuit du forum qui était arrivé à expiration.
J'ai finalement acheté deux certificats, du coup, le site et le forum sont maintenant disponibles en HTTPs, sans alerte provenant du navigateur.

https://forum.malekal.com
https://www.malekal.com

Certificat HTTPs Chrome

forum malekal HTTPs

A quoi ça sert ? cela permet en autre, surtout sur le forum, de transmettre ses cookies et ses identifiants lors de l'authentification de manière sécurisé et non en clair, ce qui peux, si vous vous connectez depuis des connexions publiques, cela peux poser problèmes (interception etc - voir : anonymisation-sur-internet-avec-proxy-web-t15059.html ).

En théorie, cela assure aussi que vous êtes bien sur le vrai site malekal, puisqu'une vérification sur l'identité du site est faite. (bon bien sûr, y a surement moyen de contourner cela).

L'autre gros avantage, c'est que maintenant les navigateurs interdisent le contenu mixte, c'est à dire un site HTTPs qui charge du contenu externe en HTTP, le contenu interdit étant les scripts.
Cela fait que si vous vous connectez sur le site/forum en HTTPs que ce dernier a été hacké (insertion d'un contenu externe en HTTP) et que vous interdisez le chargement mixte, le contenu ne sera pas chargé et donc impossible d'être infecté.
Firefox affiche le message : Firefox a bloqué du contenu non sécurisé.

Le HTTPs n'est pas forcé, si vous souhaitez utiliser le HTTPs, c'est à vous de le forcer dans l'adresse de votre favoris pour accéder au forum/site.

forum malekal HTTPs

Chrome met un bouclier avec un triangle jaune et à droite, vous avez le message qui vous informe que des scripts de source externe non sécurisée tentent d'être chargées :

HTTPs contenu mixte Chrome

C'est donc surtout pour les paranos
Par contre, la navigation est un peu plus lente qu'en HTTP.

[xtrem47]

Bonjour,

Merci pour ces modifications Malekal Morte.

Pour ceux qui utilisent HTTPS Everywhere avec Firefox il est possible de forcer automatiquement le passage en https sur le domaine.

Il suffit de créer un fichier XML (avec le nom que vous voulez) dans C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\????????.default\HTTPSEverywhereUserRules.

Et mettre dedans :

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="malekal.com" />
  <target host="forum.malekal.com" />

  <rule from="^http://(www\.)?malekal\.com/" to="https://www.malekal.com/"/>
  <rule from="^http://forum.malekal\.com/" to="https://forum.malekal.com/"/>
</ruleset>

[Malekal_morte]

Merci pour le complément, je regarderai si ça ne pose pas de problème de forcer le HTTPs.
Le problème c'est que je vais perdre Varnish, il gère pas :'(

[i ro]

Salut,

la règle pour https everywhere ne fonctionne pas chez moi, en voici une valide pour tout le site:

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="*.malekal.com" />

  <rule from="^http://([^/:@]*)\.malekal\.com/" to="https://$1.malekal.com/"/>
</ruleset>

Merci Malekal

[i ro]

Edit: Je me suis aperçu que pjjoint et la newsletter ne fonctionnait pas avec la règle que j'ai mis. En voici une nouvelle.

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="www.malekal.com" />
  <target host="forum.malekal.com" />
  <rule from="^http://(www|forum)\.malekal\.com/" to="https://$1.malekal.com/"/>
</ruleset>

[Malekal_morte]

Le certificat ne fonctionne pas pour ce sous-domaine, donc ça doit générer des erreurs d'identité, si tu veux y aller en HTTPs.