haum.org en https

[fredblain]

Passer le site en https (meilleur référencement, etc.)

[neomilium]

Si on passe en SSL, on doit avoir un certificat signé par une autorité reconnue et ça coûte... Du coup, on offre un SSL auto-signé et on laisse http ou on fait la dépense nécessaire ?

[gagath]

Je pense que, comme pour le Wiki, un certificat autosigné serait mieux que de proposer uniquement du HTTP pur. Inutile de dépenser des sommes conséquentes envers des autorités de certification douteuses qui ne sont au final pas vraiment irréprochables ; une alternative intéressante sinon c'est CAcert, une autorité collaborative de certification, mais ça prend du temps.

[gagath]

Je viens de laisser tomber mes certificats autosignés pour un certificat wildcard gratuit chez CACert ; leur CA est plutôt bien reconnu, c'est communautaire, ça ne coute rien, c'est basé sur la confiance et on peut faire un seul certificat wildcard pour tout gérer sur le domaine du HAUM et ses sous domaines.

Que demande de plus le peuple ?

[gagath]

Après avoir expérimenté CACert hier soir avec @sebvallee je me suis rendu compte que ce certificat n'étais plus du tout supporté par les navigateurs et distributions récentes du fait de la faible sécurité qu'il procure (MD5, blabla).

Une autre solution serait d'aller chez le très connu StartSSL qui permet de générer des certificats bien reconnus cette fois ci et gratuitement ; par contre on ne peut pas leur demander de wildcard et il faudra donc créer un certificat par sous domaine (ce qui ne devrait pas être compliqué vu le nombre de sous domaines actuellement utilisés).

[neomilium]

Si mes souvenirs sont d'actualité :

• Chez StartSSL, il faut payer pour la révocation il me semble. -Chez CACert, on peut faire signer ses propres certificats, donc aucune limitation. Par contre, il faut être digne de confiance, donc avoir été crédité par plusieurs autres personnes..

Le 17 octobre 2015 14:44, Romain Porte notifications@github.com a écrit :

Après avoir expérimenté CACert hier soir avec @sebvallee https://github.com/sebvallee je me suis rendu compte que ce certificat n'étais plus du tout supporté du fait de la faible sécurité qu'il procure (MD5, blabla).

Une autre solution serait d'aller chez le très connu StartSSL http://www.startssl.com/ qui permet de générer des certificats bien reconnus cette fois ci et gratuitement ; par contre on ne peut pas leur demander de wildcard et il faudra donc créer un certificat par sous domaine (ce qui ne devrait pas être compliqué vu le nombre de sous domaines actuellement utilisés).

— Reply to this email directly or view it on GitHub https://github.com/haum/haum_internal/issues/40#issuecomment-148914165.

Romuald

[gagath]

Oui, c'est l'inconvénient de StartSSL. Sinon pour CACert j'ai généré un certificat sans problème pour https://git.microjoe.org sans avoir fait vérifié mon compte par la communauté, le problème c'est que CACert n'est plus reconnu ni dans Debian Jessie ni dans les versions récentes de Firefox qui était le seul à le supporter de base.

La solution que j'ai adopté pour l'instant est d'importer le certificat root de CACert manuellement dans Firefox.

[sebvallee]

Il y a la solution (future) de Mozilla aussi (let's encrypt, je crois) qui pourrait faire l'affaire, suivant ce que ca propose... Ca devrait arriver bientôt normalement (Q4 2015) !

[matael]

Let's encrypt a été mis en place et j'ai corrigé en même temps l'appel à SpaceAPI pour qu'il soit en HTTPS aussi (voir commit haum/website@b22520b )