L’accès HTTPS arrive sur Next INpact et va être étendu progressivement

Petit à petit, SSL/TLS fait son nid

L'accès HTTPS arrive sur Next INpact et va être étendu progressivement

Le 01 octobre 2015 à 11h37

Commentaires (114)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Avant Orange <img data-src=" />



<img data-src=" />

votre avatar

<img data-src=" />&nbsp; par contre çà marchait le https sur la V5, qu’est ce qui était différent?

votre avatar

Je ne savais pas que les régies posaient problème. C’est vraiment la lie d’internet. J’espère qu’une tête pensante trouvera un nouveau modèle économique miracle pour se débarrasser de la pub d’ici quelques années…

votre avatar







John Shaft a écrit :



Par contre l’image d’illustration… <img data-src=" />





<img data-src=" />


votre avatar

Bien ! On lésine pas sur les ciphers siouplé hein. J’ai désactivé toutes les cochonneries de CBC, RC4 & co sur mon proxy <img data-src=" />

&nbsp;

&nbsp;Ps: Rien que mentionner SSL dans l’article, brrrrrrrrrr

votre avatar







ActionFighter a écrit :



Les admins réseaux galèreront un peu plus pour suivre les conneries que je raconte quotidiennement <img data-src=" />





Haha ! Non. <img data-src=" />


votre avatar







Soltek a écrit :



Haha ! Non. <img data-src=" />





T’es admin réseau dans ma boîte ? <img data-src=" />



Ben si, à moins de faire du MITM, ce qui reste faisable, mais plus galère.


votre avatar

&nbsp;Qu’est ce que ca change concrètement par rapport au http normal ?&nbsp;On va avoir un logo qui dit que le site est signé mais ca apporte quelque sécurité de plus pour les utilisateurs?

votre avatar







ExIcarus a écrit :



Qu’est ce que ca change concrètement par rapport au http normal ? On va avoir un logo qui dit que le site est signé mais ca apporte quelque sécurité de plus pour les utilisateurs?





Télécharge Wireshark, ou autre outil d’analyse de trames, et compare les deux flux.



Le http sera lisible, pas le https. A moins de posséder la clé privée d’un des deux côtés.


votre avatar

bah …la nsa lie nativement le https …..donc bon.





Allez continuer ainsi ;)

votre avatar







ActionFighter a écrit :



T’es admin réseau dans ma boîte ? <img data-src=" />





Peut-être <img data-src=" />



Pour administrer un réseau de nos jours il faut aussi bien log le trafic http que le trafic https (c’est demandé par la loi) donc tous les certificats que tu vois dans ton navigateur ne sont en fait qu’un certificat d’un firewall de la boîte (transmis par GPO ou autres) qui déchiffre tout avant de t’envoyer le résultat.


votre avatar



Nous pouvons désormais répondre à cette question : c’est pour bientôt™



&nbsp;

&nbsp;:harou:

votre avatar

Donc ca y est, vous avez pas fait les radins et acheté enfin un certificat ssl ?



Ce qui est drôle c’est quand google commence a dire que ca punit les sites web qui n’ont pas de https alors la, tout le monde commence a sécuriser ses domaines <img data-src=" />

votre avatar

Et si en prémium on garde les publicités pour vous.

C’est possible de rester en http ?

&nbsp;

Je sais je suis un me maso <img data-src=" />

votre avatar







Folgore a écrit :



Donc ca y est, vous avez pas fait les radins et acheté enfin un certificat ssl ?



Ce qui est drôle c’est quand google commence a dire que ca punit les sites web qui n’ont pas de https alors la, tout le monde commence a sécuriser ses domaines <img data-src=" />







La même chose sans les fautes ?


votre avatar







Soltek a écrit :



Peut-être <img data-src=" />





Ce serait assez drôle <img data-src=" />







Soltek a écrit :



Pour administrer un réseau de nos jours il faut aussi bien log le trafic http que le trafic https (c’est demandé par la loi) donc tous les certificats que tu vois dans ton navigateur ne sont en fait qu’un certificat d’un firewall de la boîte (transmis par GPO ou autres) qui déchiffre tout avant de t’envoyer le résultat.





Oui, du MITM, donc un peu plus galère tout de même à tracer <img data-src=" />


votre avatar

Comme dit dans la news, on a déjà un certificat pour la partie compte notamment. Je ne vois pas trop le rapport à Google puisque les Google Bots ne seront pas spécialement des membres Premium ;) Après on a une demande croissante sur le sujet de la part des lecteurs depuis quelques temps, on y répond <img data-src=" />

votre avatar

&nbsp;nslookup -query=AAAA www.nextinpact.com

&nbsp;Server: &nbsp; &nbsp; &nbsp; &nbsp; 127.0.0.1

&nbsp;Address: &nbsp; &nbsp; &nbsp; &nbsp;127.0.0.1#53



Non-authoritative answer:www.nextinpact.com &nbsp; &nbsp; &nbsp;

canonical name = nextinpact.com.

nextinpact.com &nbsp;has AAAA address 2400:cb00:2048:1::a29f:f941

nextinpact.com &nbsp;has AAAA address 2400:cb00:2048:1::a29f:fa41

&nbsp;;)

&nbsp;

votre avatar

/hs Cette actu n’apparaissait pas en incognito, merci à mon flux RSS.

votre avatar

Ce sera une option, donc à activer, ou pas ;)

votre avatar

Et du coup, pour les abonnés classiques, qui ne voient pas la pub non plus (ni les traqueurs, en décochant la case adéquate) ? Pourtant, ils n’ont pas l’air d’y avoir droit (je viens de tester).

votre avatar

Il faut lire l’actu avant de commenter ;)

votre avatar

Très bonne nouvelle, merci pour le travail accompli !

votre avatar

+1

&nbsp;

votre avatar
votre avatar







Soltek a écrit :



Ouais et encore Firefox il faut lui mettre le certificat de la boîte directement à la main dedans (en tout cas nous on a pas trouvé comment faire sans) car il a son propre dépôt de certificat alors qu’avec Chrome/IE/Edge ça passe tout seul.





Je l’avais sous le coude, un bon article qui montrait que la loi imposait de log tous les utilisateurs mais disait que c’était compliqué car on est aussi tenu au secret de la correspondance. Donc en gros on doit log les gens, mais on a pas le droit de tout regarder <img data-src=" />





&nbsp;

Garder des logs n’impose pas de garder le contenu… un proxy ne faisant pas d’interception ssl/tls va être tout à fait en mesure de dire que tu as contacté le site xyz.edu, ce qu’il ne verra pas, c’est les query de type get, les posts, les cookies, et les contenus en clair des transactions… mais ça générera des logs.

&nbsp;

A mon sens, rien n’oblige à détricoter la sécurité pour générer plus de logs que ce qui n’est généré naturellement.

&nbsp;

De plus, c’est des dispositions générales qui s’appliquent d’abord aux FAI (et sont étendues aux entreprises qui ‘offrent’ un accès internet à leurs employés. À ma connaissance, les FAI ne font pas de man in the middle cryptographique.


votre avatar

Probablement quand les sites arrêteront de passer par eux quand d’autres concurrents avec HTTPs feront leur apparition :)

votre avatar

C’est plus compliqué que ça, mais c’est un mouvement qui est initié oui (surtout depuis que Google a basculé tous ses éléments en HTTPS <img data-src=" />)

votre avatar

ohohohoho encore une fonctionnalité premium, nice ! <img data-src=" />



(sinon je sais pas ce que ca va changer maispagrave) <img data-src=" />

votre avatar







John Shaft a écrit :



Certificat X.509 et non SSL <img data-src=" />



(oui je sais, tout le monde se trompe volontairement ou pas)



<img data-src=" />







Ah autant pour moi <img data-src=" />


votre avatar







ErGo_404 a écrit :



Je ne savais pas que les régies posaient problème. C’est vraiment la lie d’internet. J’espère qu’une tête pensante trouvera un nouveau modèle économique miracle pour se débarrasser de la pub d’ici quelques années…





Le fait de passer en sécurisé a cette conséquence:

&nbsp; les liens externes non sécurisés ne sont pas chargés.

&nbsp;

&nbsp;Il faut que les pubs, les liens sociaux, l’illustration de la news soient en sécurisé.

&nbsp;



&nbsp;

Merci à l’équipe.


votre avatar

Ils bougeront quand ils comprendront pourquoi leur traffic diminue, à cause du mixed content.

votre avatar







fred42 a écrit :



Ceux qui font des commentaires publics peuvent vouloir rester anonymes. Et donc que quelqu’un qui peut faire le lien entre son adresse IP et son identité ne puisse pas lire le contenu de ce qu’il envoie.







Sur NXI ? C’est pas wikileaks quand même. <img data-src=" />



Ami paranoiaque, toi aussi utilises HTTPS comme VPN.


votre avatar

C’est déjà le cas, mais cela n’a aucun impact sur l’expérience utilisateur, tout comme l’HTTPS…

&nbsp;





2400:cb00:2048:1::a29f:f941

votre avatar

Ce que tu demandes s’appelle une faille de sécurité.

&nbsp;

Donne moi ta clé de maison et ton code CB, tu n’en as pas besoin.

Un mot de passe long et simple à se rappeler est la meilleure des armes.

Et surtout unique.

votre avatar

Alors… contrairement à ce que tu affirme, j’ai lu la news. Et ça ne me parait pas clair du tout. Parce que Premium != abonné (oui, c’est pénible le double tarif hein ? Faut expliquer les différence à tout le monde). Or les abonnés non plus n’ont pas de pub. Du coup, je demande des précisions…

votre avatar

Mais certutil lui peut être déployé via GPO, non ? ^^









needhelp a écrit :



Petite demande au passage : peut-on avoir une url personnalisée de connexion automatique à son compte premium ?



Car mon firefox vire automatiquement les cookies à chaque fermeture et taper le mot de passe à chaque fois… même si c’est juste une fois par jour le matin…

&nbsp;

merci d’avance !







Suffit que tu fasses les bons réglages au niveau des cookies et il le conservera, c’est ce que je fais perso pour certains sites en les ajoutants comme exception (car je bloque les cookies de base).


votre avatar

Mais certutil, lui, peut être déployé via GPO, non ? ^^

votre avatar
votre avatar

Super ! merci je n’y avais pas pensé !

votre avatar







David_L a écrit :



Quand laisser passer TOR nous permettra de ne pas subir de DDOS, on y pensera ;)







Mais alors comment font tous les autre sites ? Dont certains utilisent aussi cloudflare.


votre avatar

Suffit de chercher un peu sur le net …



même Nxi en a parlé …c’était le feuilleton de l’été ,l’aurais tu raté <img data-src=" />





cadeau <img data-src=">

votre avatar







fred42 a écrit :



Il y a quoi comme protocole p2p qui s’appuie sur https ?







Sur le protocole https je ne sais pas, mais qui tente d’utiliser le port 443 (et 80) alors là il y a plein de logiciel, d’où l’analyse de protocole.







Lypik a écrit :



Mais certutil, lui, peut être déployé via GPO, non ? ^^





Oui, encore faut-il le trouver d’une source fiable… Sinon il faut le compiler soit même : sur le site de mozilla je ne trouve que la version source <img data-src=" />



votre avatar

J’ai pas tout lu, donc ma question est peut-être déjà posée :

En lisant, je comprends que le passage en HTTPS sera automatique, est-ce que ça sera bel et bien le cas ?



&nbsp;Au boulot, je n’arrive pas encore à comprendre quelle est la configuration exacte, mais les proxy semblent bloquer tout les sites HTTPS qui n’ont pas été explicitement validés, du coup possible que je n’ai plus accès si c’est du HTTPS :(

votre avatar







CryoGen a écrit :



Sur le protocole https je ne sais pas, mais qui tente d’utiliser le port 443 (et 80) alors là il y a plein de logiciel, d’où l’analyse de protocole.





Exact.

&nbsp;

Un petit serveur relais en écoute sur un port 443 et du tunnelling, c’est souvent le moyen le plus simple de s’extirper de 90% des réseaux derrière un proxy.

&nbsp;


votre avatar

Pense bien à décocher « cookies » dans « Vider l’Historique lors de la fermeture de Firefox » sinon t’aura le même souci <img data-src=" />

votre avatar







CryoGen a écrit :



Oui, encore faut-il le trouver d’une source fiable… Sinon il faut le compiler soit même : sur le site de mozilla je ne trouve que la version source <img data-src=" />





Il y est sur le site de mozilla, enfin il me semble que ce soit ça ^^ :

&nbsp;





votre avatar

Elle était facile, celle là, mais bon, +1

&nbsp;



&nbsp;Sinon, effectivement, l’image “SSL secure” , ça peut faire sourire vu que les recommandations vont dans le sens de virer toute forme de SSL et de ne rien laisser d’inférieur à TLS 1.1…

&nbsp;



&nbsp;

votre avatar

Certificat X.509 et non SSL <img data-src=" />



(oui je sais, tout le monde se trompe volontairement ou pas)



<img data-src=" />

votre avatar

Et du DPI aussi <img data-src=" />

votre avatar







Soltek a écrit :



Et du DPI aussi <img data-src=" />





Totalitariste <img data-src=" />


votre avatar

Les recommandations ne “vont plus dans le sens” <img data-src=" />



SSLv3 est officiellement déprécié par l’IETF depuis juin. Il ne doit plus être utilisé sur Internet. Et oui, il faudrait forcer TLS 1.2, mais là c’est plus dur <img data-src=" />



D’ailleurs les dévs de LibreSSL l’ont récemment viré. Du coup, faudrait qu’ils se renomment LibreTLS <img data-src=" />

votre avatar







Soltek a écrit :



Pour administrer un réseau de nos jours il faut aussi bien log le trafic http que le trafic https (c’est demandé par la loi) donc tous les certificats que tu vois dans ton navigateur ne sont en fait qu’un certificat d’un firewall de la boîte (transmis par GPO ou autres) qui déchiffre tout avant de t’envoyer le résultat.





Et ca mène vers des jolis bugs comme par exemple avec Firefox qui ne charge aucun CSS, la moités des site web sautent (par exemple Bing.com, Addons.Modzilla.com, etc.), juste parce que les certificats ne sont certifiés que par … ta boite.



Enfin, en l’occurence, c’est “là boite où laquelle j’y travaille dedans”


votre avatar

Par curiosité, quelle loi impose de mettre l’interception ssl en place?

votre avatar

Question vraiment bête mais … Pourquoi faire ?&nbsp; (vraie curiosité …)

votre avatar

<img data-src=" />.



En en plus parfaitement expliqué comme toujours … Respect.

votre avatar

bonne nouvelle! merci <img data-src=" />

votre avatar

Je plussoie

&nbsp;Y’aura moyen de rester en http ?

&nbsp;

Ma boite fait aussi de l’interception et tout https ca va rendre de mon coté le site illisible.

votre avatar

Ouais et encore Firefox il faut lui mettre le certificat de la boîte directement à la main dedans (en tout cas nous on a pas trouvé comment faire sans) car il a son propre dépôt de certificat alors qu’avec Chrome/IE/Edge ça passe tout seul.









ragoutoutou a écrit :



Par curiosité, quelle loi impose de mettre l’interception ssl en place?





Je l’avais sous le coude, un bon article qui montrait que la loi imposait de log tous les utilisateurs mais disait que c’était compliqué car on est aussi tenu au secret de la correspondance. Donc en gros on doit log les gens, mais on a pas le droit de tout regarder <img data-src=" />



La CNIL en parle , en fait vu que l’employeur peut filtrer s’il veut certains sites ou catégorie de site, il faut qu’il puisse aussi filtrer ceux en https.



Sinon c’est comme pour les FAI qui ont tes log de connexion pendant 1 an, une boîte doit faire pareil.


votre avatar

Tu connais l’explication technique? En théorie, in MITM bien fait devrait être transparent autant pour le client que le serveur.

votre avatar

On avait fait des tests à l’époque mais ça posait quelques soucis et notamment ça bloquait toute la pub, d’où la nouvelle stratégie en attendant de pouvoir faire autrement <img data-src=" />

votre avatar

Le souci c’est surtout : quand est-ce que les intermédiaires vont tous passer à du HTTPS…&nbsp;

votre avatar

+1 c’est transparent chez nous.

votre avatar

<img data-src=" />

votre avatar

C’est ce que j’allais dire, pas besoin de faire des attaques MITM SSL sur le trafic de ses employés en échangeant les certifs SSL pour savoir quels sites ils visitent… Quand on fait du MITM SSL c’est qu’on veut clairement déchiffrer le contenu des requêtes et pas seulement savoir où elles vont…

&nbsp;



&nbsp;Les attaques MITN SSL sur les proxies d’entreprises sont des pratiques de sécurité détestables, en plus d’entrainer des violations de la corresponsance très facilements.

votre avatar







Crysalide a écrit :



C’est ce que j’allais dire, pas besoin de faire des attaques MITM SSL sur le trafic de ses employés en échangeant les certifs SSL pour savoir quels sites ils visitent… Quand on fait du MITM SSL c’est qu’on veut clairement déchiffrer le contenu des requêtes et pas seulement savoir où elles vont…

&nbsp;



&nbsp;Les attaques MITN SSL sur les proxies d’entreprises sont des pratiques de sécurité détestables, en plus d’entrainer des violations de la corresponsance très facilements.





En général, c’est pour l’antivirus lié au proxy…

&nbsp;

De nombreuses entreprises ont dans leurs polices de sécurité que tout contenu venant de l’extérieur doit être scanné, parfois par plusieurs outils différents. Pour que ce scan se passe au niveau proxy, il faut pouvoir accéder au contenu en clair.

&nbsp;

&nbsp;Par contre, c’est souvent un beau bordel en général concernant la qualité de la terminaison de la chaine entre le proxy et le navigateur, en particulier concernant la ciphersuite .


votre avatar

hey va falloir que je renouvelle mon abo moi, je viens de voir qu’il se termine le 6…

votre avatar







Soltek a écrit :



+1 c’est transparent chez nous.





Comment vous gérez cette transparence ? Je veux dire, pour un cas de certificat autosigné ou périmé, quel comportement est adopté ? Le certificat que voit l’utilisateur est toujours celui de l’entreprise, non ?

&nbsp;

&nbsp;edit : hors taux gras fe


votre avatar







La Mangouste a écrit :



Comment vous gérez cette transparence ? Je veux dire, pour un cas de certificat autosigné ou périmé, quel comportement est adopté ? Le certificat que voit l’utilisateur est toujours celui de l’entreprise, non ?

&nbsp;

&nbsp;edit : hors taux gras fe





C’est une transparence qui n’est possible qu’en affaiblissant le client qui accepte un certificat générique “*” autosigné.

&nbsp;



&nbsp;Et dès que tu as des sites ou des applications un peu tatillonnes sur la sécurité (par exemple mises à jour automatiques de certains softs, outils avec certificat client, …) , plus rien ne marche…


votre avatar

Ouai, ouai ouai… vous faites ce que vous voulez tant que ça fonctionne avec TOR. Ce qui n’est pas le cas pour l’instant et ce, depuis plusieurs mois. Impossible de se connecter.

votre avatar

Oui si tu regardes bien dans ton navigateur quand tu vas sur du https c’est le certificat de la boîte mais ça ne pose pas de soucis.









ragoutoutou a écrit :



C’est une transparence qui n’est possible qu’en affaiblissant le client qui accepte un certificat générique “*” autosigné.

 



 Et dès que tu as des sites ou des applications un peu tatillonnes sur la sécurité (par exemple mises à jour automatiques de certains softs, outils avec certificat client, …) , plus rien ne marche…





Bah… non. Chrome/IE/Edge ne demande aucun “affaiblissement” pour accepter le certificat.

On a mis une whitelist pour certains sites histoire que leur certificat passe quand même parce que le “plus rien ne marche” c’est pas trop acceptable <img data-src=" />


votre avatar







Soltek a écrit :



Oui si tu regardes bien dans ton navigateur quand tu vas sur du https c’est le certificat de la boîte mais ça ne pose pas de soucis.





Bah… non. Chrome/IE/Edge ne demande aucun “affaiblissement” pour accepter le certificat.

On a mis une whitelist pour certains sites histoire que leur certificat passe quand même parce que le “plus rien ne marche” c’est pas trop acceptable <img data-src=" />





Oui donc pas si transparent que ça. Ça fonctionne, certes, mais ça a ses limites. L’utilisateur final n’a aucune idée de la sécurité de la connexion (taille de clé, suite crypto utilisée, signature du certificat du serveur, etc. ).

&nbsp;

&nbsp;Je voulais juste avoir confirmation de ça : on n’est pas sur de la solution miracle qui fait le café et te l’apporte à ton bureau, mais pour un utilisateur pour qui le chiffrement c’est “le cadenas dans la barre d’adresse”, ça passe.


votre avatar

Quand laisser passer TOR nous permettra de ne pas subir de DDOS, on y pensera ;)

votre avatar







La Mangouste a écrit :



pour un utilisateur pour qui le chiffrement c’est “le cadenas dans la barre d’adresse”, ça passe





<img data-src=" />


votre avatar







Soltek a écrit :



Oui si tu regardes bien dans ton navigateur quand tu vas sur du https c’est le certificat de la boîte mais ça ne pose pas de soucis.





Bah… non. Chrome/IE/Edge ne demande aucun “affaiblissement” pour accepter le certificat.





C’est de fait un affaiblissement, puisque ça masque le “man in the middle”…

&nbsp;



&nbsp;


votre avatar

Pourquoi le https empêche les pubs et pas le http normal ?



Désolé mais pas le temps de lire tous les commentaires, au cas ou il y ai déjà une réponse.

&nbsp;

votre avatar

Parce que les régies de pubs ne sont généralement pas en HTTPS, à contrario du HTTP. C’est expliqué dans le new ;-).

votre avatar







Zerdligham a écrit :



Tu connais l’explication technique? En théorie, in MITM bien fait devrait être transparent autant pour le client que le serveur.





J’en ai aucune idée… Le pare-feu fonctionne comme un proxy chez nous (et ca à fait quelques merdes en prod d’ailleurs) Mais :





Soltek a écrit :



Ouais et encore Firefox il faut lui mettre le certificat de la boîte directement à la main dedans (en tout cas nous on a pas trouvé comment faire sans) car il a son propre dépôt de certificat alors qu’avec Chrome/IE/Edge ça passe tout seul.







Bon là ca dépasse mes connaissances, faut chopper les fichiers de certificat de la boite et les ajouter comme certificateur de confiance, c’est ça ?


votre avatar







Thoscellen a écrit :



Bon là ca dépasse mes connaissances, faut chopper les fichiers de certificat de la boite et les ajouter comme certificateur de confiance, c’est ça ?





Oui exactement <img data-src=" />

On le fait à la mano pour les quelques postes qui ont besoin de FF.


votre avatar

Pour infos, un tunnel ssh sur le port 443 ca se détecte très facilement par rapport à un vrai site https.

&nbsp;

&nbsp;Je sais j’ai fais mon stage de fin d’étude dans le service sécurité d’un grande boite francaise et ils envoyent des avertissement pour contournement de la politique de sécutité du SI. Après toutes les boites ne le font pas non plus.

votre avatar







CiskoCitron a écrit :



Pour infos, un tunnel ssh sur le port 443 ca se détecte très facilement par rapport à un vrai site https.

&nbsp;

&nbsp;Je sais j’ai fais mon stage de fin d’étude dans le service sécurité d’un grande boite francaise et ils envoyent des avertissement pour contournement de la politique de sécutité du SI. Après toutes les boites ne le font pas non plus.





Effectivement, mais d’où le “90%” dans mon comm: c’est facilement détectable, mais d’expérience c’est relativement rare que ça soit mis en place en pratique.

&nbsp;


votre avatar

Ok, j’attirai juste l’attention sur le fait qu’il y a des risques car c’est souvent écrit/interdit dans la charte du SI.

&nbsp;

&nbsp;Perso, je préfèrerai consulter mes sites sur mon smartphone ou faire du tethering.

votre avatar

Est ce qu’on peut m’expliquer les enjeux ? Je comprends pas trop en quoi c’est une bonne (ou mauvaise) nouvelle ?

votre avatar

Ça existe une entreprise qui surveille d’aussi près l’usage de sa connexion internet, mais qui t’autorise à faire du tethering en direct?

votre avatar

<img data-src=" />



&nbsp;<img data-src=" />

votre avatar







ActionFighter a écrit :



T’es admin réseau dans ma boîte ? <img data-src=" />



Ben si, à moins de faire du MITM, ce qui reste faisable, mais plus galère.







Y’a encore des entreprises qui ne le font pas sur le poste même ? (ou via d’autres méthodes)


votre avatar







Zulgrib a écrit :



Y’a encore des entreprises qui ne le font pas sur le poste même ? (ou via d’autres méthodes)





Pas sur le poste chez moi, après, via d’autres méthodes, je ne sais pas…


votre avatar

Certaines personnes ont des PC portable hors réseau, d’autres avec VPN facultatif.

&nbsp;Et c’est si surveillé que ça car si quelqu’un fait des bétises sur internet, a ton avis, le SWAT il va venir toquer chez qui ?

votre avatar
votre avatar

Ah ! Ca fait plaisir !



Une nouvelle favorable (de plus) pour passer Premium !

votre avatar

<img data-src=" />

votre avatar

<img data-src=" /> Merci l’équipe !

votre avatar

<img data-src=" />

votre avatar

Merci ! c’est mieux !

votre avatar

Bonne nouvelle :)



Par contre le certificat n’est pas accepté par mon firefox beta 42. La route est longue pour migrer vers HTTPS ;)

votre avatar

Merci <img data-src=" />



Les admins réseaux galèreront un peu plus pour suivre les conneries que je raconte quotidiennement <img data-src=" />

votre avatar

Et IPv6, c’est pour quand <img data-src=" />

votre avatar

<img data-src=" />



Par contre l’image d’illustration… <img data-src=" />

votre avatar







ActionFighter a écrit :



T’es admin réseau dans ma boîte ? <img data-src=" />



Ben si, à moins de faire du MITM, ce qui reste faisable, mais plus galère.





squid proxy mod ssl, 2h + tard tu fais ce que tu veux du traffic ssl

&nbsp;

et si ton firewall est un cisco , zou ! wccp!


votre avatar

J’ai peut être raté quelque chose, mais qu’est ce qui empêche le navigateur de charger un contenu externe HTTP si la page elle même est en HTTPS. Ce sont deux requêtes et connexion TCP qui n’ont rien à voir.



EDIT : En fait, je viens de voir ça sur le MDN :



If your website delivers HTTPS pages, all active mixed content delivered via HTTP on this pages will be blocked by default

Je ne savais pas que les navigateurs (en l’occurrence Firefox) bloquait ce genre de contenu. L’époque d’IE6 qui signalait juste qu’il y avait “du contenu non sécurisé dans cette page” remonte à longtemps <img data-src=" />

votre avatar

En fait c’est parce que Firefox n’utilise pas le magasin de certificat de Windows mais seulement le sien. Du coup pour que Firefox reconnaisse le certificat de l’entreprise il faut lui ajouter manuellement le certificat public du pare-feu.



D’ailleurs celà fait parti des frein de firefox en entreprise… pas d’utilitaire de gestion centralisé.



EDIT/ BBQ <img data-src=" />

votre avatar







La Mangouste a écrit :



Oui donc pas si transparent que ça. Ça fonctionne, certes, mais ça a ses limites. L’utilisateur final n’a aucune idée de la sécurité de la connexion (taille de clé, suite crypto utilisée, signature du certificat du serveur, etc. ).

 

 Je voulais juste avoir confirmation de ça : on n’est pas sur de la solution miracle qui fait le café et te l’apporte à ton bureau, mais pour un utilisateur pour qui le chiffrement c’est “le cadenas dans la barre d’adresse”, ça passe.







Bah tu vois que le certicat est généré par le proxy / pare-feu: tu as donc toutes les infos comme un “vrai” certificats.



Le déchiffrage de l’https c’est très souvent pour les analyses anti-virus et inspercteur de protocoles (histoire d’éviter le p2p par exemple <img data-src=" /> )


votre avatar

Est-ce que ce sera un certificat let’s encrypt ?&nbsp;ici

votre avatar

Tu as eu réponse à ta question ^^. D’ailleurs on peut le voir avec la console développeur (F12 &gt; console), il indique Mixed-content de mémoire. On peut d’ailleurs voir là, que le certificat utilisé a été signé avec l’algorithme de hashage SHA-1, il indique donc une erreur et on voit aussi une multitude d’avertissements concernant des propriétés CSS <img data-src=" />

votre avatar

Ça m’étonnerai fortement, étant donné que NextINpact indique que ce sera bientôt et que le certificat racine de let’s encrypt n’est pas encore intégré dans la base des navigateurs, même s’ils en ont fait la demande récemment (cf. Blog de let’s encrypt).

votre avatar



Cette année, nous allons passer une nouvelle étape en activant l’accès HTTPS sur tout le site.





Ah… cool. Chiffrer l’envoi de commentaires publiques, c’est indispensable. <img data-src=" />





HTTPS, ou le mythe du cadenas.

votre avatar

Qu’en est-il avec le script décrit sur ce sitehttp://blog.hellnino.com/?p=461 ? Visiblement c’est possible de l’éxecuter via GPO.

votre avatar

Il faut déployer certutil sur les postes avant (nss) donc c’est pas top quand même <img data-src=" />

A moins qu’on puisse appeler depuis un partage réseau…

votre avatar

L’échange de certificat à la volée (qui est de l’usurpation d’identité selon moi) avec une autorité de certif ajoutée localement ne fonctionne pas si le réglage du certificate pinning est réglé sur strict dans le navigateur. <img data-src=" />

votre avatar

Putin encore un essai du Canada. Du coup je sais plus ce que je voulais dire…

votre avatar







Papa Panda a écrit :



bah …la nsa lie nativement le https …..donc bon.





Allez continuer ainsi ;)







Quels ciphers ? Et merci de donner une source.





Soltek a écrit :



Pour administrer un réseau de nos jours il faut aussi bien log le trafic http que le trafic https (c’est demandé par la loi)





C’est faux. Les articles de loi concernés seraient les bienvenus, sils existent.





ragoutoutou a écrit :



Par curiosité, quelle loi impose de mettre l’interception ssl en place?





On est au moins 2.





Soltek a écrit :



Je l’avais sous le coude, un bon article qui montrait que la loi imposait de log tous les utilisateurs mais disait que c’était compliqué car on est aussi tenu au secret de la correspondance. Donc en gros on doit log les gens, mais on a pas le droit de tout regarder <img data-src=" />





Las seuls articles valables quand il s’agit de la Loi, ce sont justement les articles de loi.

Logger ne signifie pas logger tout le contenu des échanges.

Il s’agit de pouvoir identifier un utilisateur qui par exemple posterait un message illégal.



Pour cela, si l’accès se fait par un proxy ou du NAT, il faut juste logger avec horodatage les accès avec adresse IP et port utilisé. Nul besoin de déchiffrer le TLS pour cela. Ces infos passent en clair, ce qui n’est pas le cas de l’URL et du contenu, mais la loi ne les demande pas justement.



La CNIL en parle , en fait vu que l’employeur peut filtrer s’il veut certains sites ou catégorie de site, il faut qu’il puisse aussi filtrer ceux en https.



Sinon c’est comme pour les FAI qui ont tes log de connexion pendant 1 an, une boîte doit faire pareil.





Non, la CNIL ne parle pas de logger le contenu qui passe en https. Ou bien me citer le passage que j’ai raté.



Les FAI doivent uniquement logger les correspondances entre adresse IP et utilisateur avec horodatage correspondant à la période où une adresse IP est attribuée et c’est tout. En tout cas s’il fournit une adresse IP publique.

S’il fait du NAT (réseau mobile par exemple), il doit faire comme j’ai dit plus haut : log du port ce qui permet de retrouver l’utilisateur.



Faire autre chose en tant qu’administrateur réseau doit t’exposer à des sanctions pénales. Je te conseille de consulter un avocat.



Edit : phôttes


votre avatar







CryoGen a écrit :



Bah tu vois que le certicat est généré par le proxy / pare-feu: tu as donc toutes les infos comme un “vrai” certificats.





Tu vois surtout que le certificat racine n’est pas émis par un des fournisseurs “habituels”qui sont embarqués par le navigateur ou le système d’exploitation.



Le déchiffrage de l’https c’est très souvent pour les analyses anti-virus et inspercteur de protocoles (histoire d’éviter le p2p par exemple <img data-src=" /> )



Il y a quoi comme protocole p2p qui s’appuie sur https ?





127.0.0.1 a écrit :



Ah… cool. Chiffrer l’envoi de commentaires publiques, c’est indispensable. <img data-src=" />





HTTPS, ou le mythe du cadenas.







Ceux qui font des commentaires publics peuvent vouloir rester anonymes. Et donc que quelqu’un qui peut faire le lien entre son adresse IP et son identité ne puisse pas lire le contenu de ce qu’il envoie.



Le réseau s’étend au delà de 127.0.0.1 et là commence le danger.


votre avatar

Et pour les utilisateurs non premium qui ne voient pas la pub ? <img data-src=" />

votre avatar

Petite demande au passage : peut-on avoir une url personnalisée de connexion automatique à son compte premium ?



Car mon firefox vire automatiquement les cookies à chaque fermeture et taper le mot de passe à chaque fois… même si c’est juste une fois par jour le matin…

&nbsp;

merci d’avance !

L’accès HTTPS arrive sur Next INpact et va être étendu progressivement

  • HTTPS : une généralisation freinée par le marché publicitaire

  • Une fonctionnalité réservée aux membres Premium dans un premier temps

Fermer