Project

General

Profile

Demande #860

https sur audio.april.org

Added by Vincent-Xavier JUMEL over 7 years ago. Updated almost 3 years ago.

Status:
Fermé
Priority:
Normale
Assignee:
-
Category:
Task
Target version:
Start date:
12/03/2016
Due date:
% Done:

0%

Difficulté:
3 Moyen

Description

Bonjour les admins de l'April,
Etant un fidèle utilisateur de HTTPS Everywhere [0], je viens de me
rendre compte qu'une configuration est maintenant disponible pour
april.org [1].
Chouette, mais ça pose un problème à http://audio.april.org (qui est en
fait hébergé par nos soins via http://www.bonnes-ondes.fr).
Selon vous, le mieux c'est :
1. avoir vraiment de l'https sur audio.april.org ?
2. aménager la conf de April.org.xml ?
C'est la pensée https du jour, bonne journée ;)
0. https://www.eff.org/https-everywhere
1.
https://gitweb.torproject.org/https-everywhere.git/blob/HEAD:/src/chrome/content/rules/April.org.xml

message-footer.txt View (126 Bytes) Vincent-Xavier JUMEL, 04/11/2012 11:52 AM

History

#1 Updated by Loic Dachary almost 7 years ago

  • Target version set to Backlog

#2 Updated by Loic Dachary almost 7 years ago

  • Category set to Task
  • Difficulté set to 2 Facile

#3 Updated by Loic Dachary almost 7 years ago

  • Difficulté changed from 2 Facile to 3 Moyen

#4 Updated by Loic Dachary almost 7 years ago

  • Start date set to 12/03/2016

#5 Updated by François Poulain almost 3 years ago

  • Description updated (diff)

J'ai contacté les hébergeur pour qu'ils fassent le nécessaire. Si ce n'est pas possible, on avisera ; j'imagine qu'on peut proxifier.

#6 Updated by Benjamin Drieu almost 3 years ago

Le mieux est de faire un « pull-request » (?) sur le git de https everywhere pour ne pas forcer le https sur audio.april.org (car chiffrer du flux audio, bof). Bref, envoyer un patch, mais jamais eu le temps de m'y plonger.

#7 Updated by François Poulain almost 3 years ago

Un email est possible :

If you've tested your rule and are sure it would be of use to the world at large, submit it as a pull request on our GitHub repository or send it to the rulesets mailing list at https-everywhere-rules AT eff.org. Please be aware that this is a public and publicly-archived mailing list.

#8 Updated by François Poulain almost 3 years ago

Ceci étant, amha ça serait bien de servir le domaine en https. D'une part pour pouvoir éviter les mixed contents, et d'autre part pour ne pas avoir de downgrade (https->http) dans la navigation. Les plugins comme https everywhere vont râler pour ça, et on peut s'attendre à ce que ce soit un comportement futur des navigateurs.

Amha le plus simple est de redéfinir le RR pour pointer sur vip et de servir le domaine via nginx/bastion.

#9 Updated by Edouard Dausque almost 3 years ago

Je +1 l'idée de migrer le CNAME sur bastion + reverse proxy vers www.bonnes-ondes.fr

#10 Updated by François Poulain almost 3 years ago

  • Status changed from Nouveau to Fermé

Bon beh j'ai fait comme ça.

François

#11 Updated by François Poulain almost 3 years ago

Retour de bonnes ondes :

Salut François

Désolé pour la non réponse
Tu as sans doute mis en oeuvre la solution la plus simple dans la mesure 
où si nous passons audio.april.org en https, il nous faut avoir un 
certificat dont le subject et les altnames sont corrects, c'est à dire à 
"audio.april.org", ce qui n'est pas le cas. Si tu veux nous fournir un 
certificat signé par la CA de ton choix et une clé privée (et le certif 
de la CA si ce n'est pas celle de Gandi), je serai ravi de l'installer 
sur nos machines. Si tu veux que nous te fournissions ces certificats, 
c'est possible. Notre fournisseur est Gandi et nous prenons quelques 
frais administratifs. Je suis certain que vous avez tout ce qu'il faut 
pour générer ce qu'il faut par vous même et nous fournir les fichiers 
qui vont bien.
Petite remarque tout de même : avoir plusieurs certifs sur la même IP et 
le même port sous entend que nous fassions du SNI, ce qui exclue une 
certaine partie (certes restreinte et en constante diminution) 
d'internautes potentiels, notamment ceux qui utilisent encore des 
machines avec windows XP et un vieil Internet Exploder.

Amitiés

Florent

#12 Updated by François Poulain almost 3 years ago

Ma réponse :

> Désolé pour la non réponse  

Pas de soucis. :)

> Tu as sans doute mis en oeuvre la solution la plus simple  

Après réflexion, je pense aussi. Par contre, il y a un effet de bord :
je ne sais pas qui uploade et de quelle manière les podcast sur
audio.april.org, mais vu que j'ai changé l'enregistrement DNS,
désormais il va tomber sur notre bastion s'il essaie une connexion en
ftp, ssh ou autre (non http). Sais tu comment ça se passe en pratique ?

> Petite remarque tout de même : avoir plusieurs certifs sur la même IP
> et le même port sous entend que nous fassions du SNI, ce qui exclue
> une certaine partie (certes restreinte et en constante diminution) 
> d'internautes potentiels, notamment ceux qui utilisent encore des 
> machines avec windows XP et un vieil Internet Exploder.  

Je n'ai pas eu l'occasion d'essayer, mais je suppose que modulo une
exception de sécurité, le contenu reste accessible non ? Ou bien sinon
ils feront du http... À titre perso je ne suis pas très conservateur de
ce point de vue.

François

Also available in: Atom PDF