Le wiki

Bonjour, il est arrivé quoi au wiki? il n’est pas accessible.

Salut,

https://www.isalo.org/wiki.debian-fr/Accueil, j’en reviens.

[quote]Échec de la connexion sécurisée

La connexion avec le serveur a été réinitialisée pendant le chargement de la page.

La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues ne peut être vérifiée.
Veuillez contacter les propriétaires du site web pour les informer de ce problème.[/quote]

Aucun problème pour moi avec clic sur le lien en haut à droite de la page d’accueil.

Le certificat du wiki vient d’être mis-à-jour, tu as toujours des difficultés à t’y connecter vger ?

Bonsoir,
non toujours pas. Alors j’ai lâché firefox et j’ai essayé avec chrome et j’obtiens un message d’eset antivirus qui me dit que le certificat était valide jusqu’au 22/01 …

attends c’est bizare, au deuxième essais même erreur certificat non approuvé mais péremption en juillet 2016… doit y avoir un bug dans la matrice…

bref via chrome en acceptant les certificats même si a la base (non approuvé) ca marche quand même. Mais sur firefox ca ne passe pas du tout.

sur chrome ils disent que la méthode de chiffrement est obsolète

Tu as bien vidé le cache?

oui toujours pareil…

Bizarre parce que je viens de faire encore sur le lien et ça marche.
Tu fais avec cette adresse ?
https://www.isalo.org/wiki.debian-fr/Accueil

edit
ou alors t’as plus les bons certificats.

en fait chez moi c’est le certificat stats.karma.mg qui pose problème (je viens de m’en apercevoir) donc c’est pas directement le site en question. mais quand même de là à ce que firefox me bloque le site totalement…

Il faut bien que tu rajeunisses tes certificats alors.

Je mentionne des fais tirés en partie de l’expérience du système mac, non pour en faire du prosélytisme, ce qui serait malvenu, mais pour m’appuyer sur ces fais pour bâtir mon raisonnement. Il me semble que le problème avec le certificat du wiki est plus sérieux que cela. Firefox à jour tient à s’installer sur des systèmes non-libres qui ne sont plus à jour. En conséquence Firefox ignore la politique de sécurité de ces systèmes et a sa propre politique de sécurité de gestion des certificats.

Dans Iceweasel à cette version :

# iceweasel -v Mozilla Iceweasel 31.8.0 Pas de problème avec le certificat du wiki.

Or dans Firefox 44 sur mac os x 10.6, la machine me répond qu’il est impossible de vérifier ce certificat racine de isalo qui est CA Cert, car il a été signé à l’aide d’un algorithme de signature qui a été désactivé car cet algorithme n’est pas sécurisé, voir image :
http://imgh.us/impossible-verifier-certificat-racine-CA_Cert.tiff.svg

À moins qu’il y ait une faille dans mon raisonnement, si CA Cert continue à utiliser SHA1 et SHA-256 en ce moment où Iceweasel ( Sid ) est en version 44, puisque la politique de sécurité d’une version donnée de Firefox-Iceweasel est la même quelque soit les systèmes, Iceweasel 44 devrait répondre de manière identique : « Impossible de vérifier ce certificat car il a été signé à l’aide d’un algorithme de signature qui a été désactivé car cet algorithme n’est pas sécurisé. »

Ceux qui ont Sid d’installé peuvent confirmer ou infirmer ce raisonnement à propos des certificats CA Cert:
https://packages.debian.org/sid/iceweasel

Si mon raisonnement est juste, cela voudrait dire qu’il faudrait qu’isalo abandonne CA Cert pour une autre autorité de certification.

Cela me semble confirmé par la visite de ce site :
https://www.globalsign.com/fr-fr/blog/sha-1-mozilla-affiche-alertes-de-securite/
qui donne le lien vers ce test qui donne une mauvaise note de sécurité au site isalo : https://globalsign.ssllabs.com/analyze.html?d=https%3A%2F%2Fwww.isalo.org%2Fwiki.debian-fr%2FAccueil

Vous pouvez refaire le test vous-même ici :
https://globalsign.ssllabs.com/index.html

letsencrypt ?

let’s encrypt est encore en beta… perso pour du ssl le principe de beta ne me convainc pas…

Let’s encrypt, je ne suis pas un spécialiste, j’ai juste un peu cherché pourquoi pour http://wiki.debian-fr.org/ j’étais systématiquement obligé d’ajouter des exceptions de sécurité dans différents ordinateurs et différents navigateurs. Il se trouve que le wiki isalo a aussi une mauvaise réponse avec un site de test de sécurité. Voir mon message précédent. Cela m’interpelle. Si quelqu’un de pointu ou une pointure dans ce domaine pouvait aider l’administrateur d’isalo à rétablir ou établir une bonne situation de sécurité pour ce site. Imaginez quelqu’un commençant à s’intéresser à Debian, il fait des recherches et tombe sur le wiki isalo. Dès le départ, il est obligé d’ajouter une exception de sécurité à un certificat, cela commence mal pour l’image de sécurité que devrait donner tout ce qui touche à Debian.

Salut à tous,

Oui, le certificat n’est pas reconnu (et pourtant il provient bien d’une “autorité” de certification, mais libre…).
Et oui il y a des liens ssl dans le site qui pointent vers des sous-domaines sans certificats (stats piwik).

J’avais un “wildcard” pour ce domaine, mais je n’ai pas renouvelé, trop cher.

En même temps:

  • vous n’êtes pas sur un site marchand;
  • vous ne transférez pas de données sensibles;
  • personne ne tente de vous escroquer.

Je veux bien de l’aide, c’est juste une question d’argent… Si vous voulez me payer un certificat reconnu par les escrocs “certificateurs” , pas de pb:
https://www.isalo.org/paypal/

Il me faut 100$ environ pour que vous puissiez dormir tranquille…

Et si tu en as marre de te faire pigeonner, il y a aussi Let’s Encrypt :wink:

Site officiel : https://letsencrypt.org/
Un message rédigé pour Ricardo à l’origine, qui pourra t’aider : Certicat SSL : générer où

Hello,
C’est cool, je regarde.
Je vais faire un essai en local d’abord, j’ai cinquante sites de clients sur le serveur, j’ai pas envie de tout casser…
:innocent:

Hello,

J’ai un peu galéré, mais ça fonctionne, effectivement:

Je mets ça en place sur le Wiki dans un petit moment. J’aimerais bien essayer un renouvellement avant de me lancer.

Ouaip, je crois qu’on en est tous +/- là :slight_smile:.