Demande #860
fermé
- Version cible mis à Backlog
- Catégorie mis à Task
- Difficulté mis à 2 Facile
- Difficulté changé de 2 Facile à 3 Moyen
- Description mis à jour (diff)
J'ai contacté les hébergeur pour qu'ils fassent le nécessaire. Si ce n'est pas possible, on avisera ; j'imagine qu'on peut proxifier.
Le mieux est de faire un « pull-request » (?) sur le git de https everywhere pour ne pas forcer le https sur audio.april.org (car chiffrer du flux audio, bof). Bref, envoyer un patch, mais jamais eu le temps de m'y plonger.
Un email est possible :
If you've tested your rule and are sure it would be of use to the world at large, submit it as a pull request on our GitHub repository or send it to the rulesets mailing list at https-everywhere-rules AT eff.org. Please be aware that this is a public and publicly-archived mailing list.
Ceci étant, amha ça serait bien de servir le domaine en https. D'une part pour pouvoir éviter les mixed contents, et d'autre part pour ne pas avoir de downgrade (https->http) dans la navigation. Les plugins comme https everywhere vont râler pour ça, et on peut s'attendre à ce que ce soit un comportement futur des navigateurs.
Amha le plus simple est de redéfinir le RR pour pointer sur vip et de servir le domaine via nginx/bastion.
- Statut changé de Nouveau à Fermé
Bon beh j'ai fait comme ça.
François
Retour de bonnes ondes :
Salut François
Désolé pour la non réponse
Tu as sans doute mis en oeuvre la solution la plus simple dans la mesure
où si nous passons audio.april.org en https, il nous faut avoir un
certificat dont le subject et les altnames sont corrects, c'est à dire à
"audio.april.org", ce qui n'est pas le cas. Si tu veux nous fournir un
certificat signé par la CA de ton choix et une clé privée (et le certif
de la CA si ce n'est pas celle de Gandi), je serai ravi de l'installer
sur nos machines. Si tu veux que nous te fournissions ces certificats,
c'est possible. Notre fournisseur est Gandi et nous prenons quelques
frais administratifs. Je suis certain que vous avez tout ce qu'il faut
pour générer ce qu'il faut par vous même et nous fournir les fichiers
qui vont bien.
Petite remarque tout de même : avoir plusieurs certifs sur la même IP et
le même port sous entend que nous fassions du SNI, ce qui exclue une
certaine partie (certes restreinte et en constante diminution)
d'internautes potentiels, notamment ceux qui utilisent encore des
machines avec windows XP et un vieil Internet Exploder.
Amitiés
Florent
Ma réponse :
> Désolé pour la non réponse
Pas de soucis. :)
> Tu as sans doute mis en oeuvre la solution la plus simple
Après réflexion, je pense aussi. Par contre, il y a un effet de bord :
je ne sais pas qui uploade et de quelle manière les podcast sur
audio.april.org, mais vu que j'ai changé l'enregistrement DNS,
désormais il va tomber sur notre bastion s'il essaie une connexion en
ftp, ssh ou autre (non http). Sais tu comment ça se passe en pratique ?
> Petite remarque tout de même : avoir plusieurs certifs sur la même IP
> et le même port sous entend que nous fassions du SNI, ce qui exclue
> une certaine partie (certes restreinte et en constante diminution)
> d'internautes potentiels, notamment ceux qui utilisent encore des
> machines avec windows XP et un vieil Internet Exploder.
Je n'ai pas eu l'occasion d'essayer, mais je suppose que modulo une
exception de sécurité, le contenu reste accessible non ? Ou bien sinon
ils feront du http... À titre perso je ne suis pas très conservateur de
ce point de vue.
François
- Assigné à mis à François Poulain
Formats disponibles : Atom
PDF