Attention https obligatoire !

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #31
    Re : Attention https obligatoire !

    Merci !
    J'ai forcé HTTPS dans la configuration et ça bascule en effet automatiquement en https sans modification du .htaccess, avec le cadenas vert sous Firefox (PC).
    Par contre, sous Chrome, au lieu du cadenas, j'ai un triangle rouge et https est en rouge barré dans l'adresse ! Il y a la mention
    Ce site utilise une configuration de sécurité faible (signatures SHA 1).
    Il est donc possible que votre connexion ne soit pas privée.
    De quoi inquiéter le visiteur, si Google ne considère pas les certificats Let's encrypt comme suffisamment protecteurs !!!

    Complément : Opera considère lui aussi le site comme non sécurisé !
    Dernière édition par RobertG à 08/10/2016, 10h32
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

    Commentaire


    • #32
      Re : Attention https obligatoire !

      oui, mais dans ce cas c'est pas la redirection dans le htaccess qui y changera quelques chose, mais le type de certificat, non ?
      aidons nous les uns les autres ...

      http://web54.fr

      Commentaire


      • #33
        Re : Attention https obligatoire !

        Envoyé par tataye Voir le message
        oui, mais dans ce cas c'est pas la redirection dans le htaccess qui y changera quelques chose, mais le type de certificat, non ?
        En effet !
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

        Commentaire


        • #34
          Re : Attention https obligatoire !

          @Robert
          j'ai deja eu ce problème
          Il a été résolu en vidant tous les caches ... serveur et navigateur plusieurs fois
          Il faut aussi bien regarder dans la console de firbug par exemple s'il n'y a pas des erreurs avec des liens en dur vers du http://

          Il est vrai que parfois ça passe tout seul en forçant le https:// dans Joomla! et parfois en forçant dans le Htaccess
          Perso, je fais les deux, car je force aussi le www dans mon htaccess
          Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

          Commentaire


          • #35
            Re : Attention https obligatoire !

            J'ai beau tout faire, ça ne change rien sous Chrome et Opera.
            Seuls Firefox, Safari et IE considèrent les sites comme protégés.
            Cela concerne les deux sites www.joomxtensions.com et www.fontanil.info, mais je retrouve le même problème sur www.joomla.org, avec le même message concernant le chiffrement faible.
            Sur une des pages de joomxtensions.com, sous Chrome, je trouve cette info :
            The certificate for this site expires in 2017 or later, and the certificate chain contains a certificate signed using SHA-1.
            et au-dessous, plus rassurant, mais les visiteurs n'iront pas chercher ces informations :
            Secure Resources
            All resources on this page are served securely.
            Pire sous Opera, le site est déclaré non sécurisé ("Connexion non protégée"), et en complément
            Ce site utilise des réglages de sécurité périmés qui pourraient empêcher les prochaines versions d'Opera d'y accéder avec sécurité
            Par contre, sur mon Smartphone, Chrome considère bien les sites comme chiffrés, avec le cadenas en début d'adresses !
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

            Commentaire


            • #36
              Re : Attention https obligatoire !

              Envoyé par RobertG Voir le message
              J'ai beau tout faire, ça ne change rien sous Chrome et Opera.
              Seuls Firefox, Safari et IE considèrent les sites comme protégés.
              Cela concerne les deux sites www.joomxtensions.com et www.fontanil.info, mais je retrouve le même problème sur www.joomla.org, avec le même message concernant le chiffrement faible.
              Sur une des pages de joomxtensions.com, sous Chrome, je trouve cette info : et au-dessous, plus rassurant, mais les visiteurs n'iront pas chercher ces informations :
              Pire sous Opera, le site est déclaré non sécurisé ("Connexion non protégée"), et en complément

              Par contre, sur mon Smartphone, Chrome considère bien les sites comme chiffrés, avec le cadenas en début d'adresses !
              De mon côté, sous Chrome et sur PC j'ai bien le cadenas vert, donc pas de soucis chez moi sur tous les sites mentionnés.

              Commentaire


              • #37
                Re : Attention https obligatoire !

                C'est vraiment curieux, cette différence !

                Complément : je viens de tester ces trois sites sur ma tablette Surface 3 et Chrome : le cadenas vert est bien présent.
                Même s'il s'agissait d'une histoire de cache comme précédemment évoqué, comment expliquer que la purge de ces caches de navigateurs et de mes propres sites n'ait rien changé sur mon PC ?
                Dernière édition par RobertG à 09/10/2016, 10h45
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                Commentaire


                • #38
                  Re : Attention https obligatoire !

                  Pareil,
                  j'ai bien tous les cadenas verts

                  Même s'il s'agissait d'une histoire de cache comme précédemment évoqué, comment expliquer que la purge de ces caches de navigateurs et de mes propres sites n'ait rien changé sur mon PC ?
                  Je me suis posé la même question il y a quelque temps ... et le lendemain alors que je bataillais la veille au soir, tous les cadenas etaient bien au vert ! A se demandé s'il n'y avait pas un histoire de propagation ... un peu comme les redirections de dns.

                  Par contre j'ai eu un soucis dans un template qui appelait directement des polices en http (donc en dur) il a juste fallu que je modifie ces ligne dans le template pour avoir le cadenas bien vert sans alerte
                  Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

                  Commentaire


                  • #39
                    Re : Attention https obligatoire !

                    peut être un réglage dans le navigateur ? une piste là

                    edit:
                    ta pas une extension qui te fout le bizarre ?
                    Dernière édition par Five_Phil à 09/10/2016, 12h19

                    Commentaire


                    • #40
                      Re : Attention https obligatoire !

                      Envoyé par RobertG Voir le message
                      C'est vraiment curieux, cette différence !

                      Complément : je viens de tester ces trois sites sur ma tablette Surface 3 et Chrome : le cadenas vert est bien présent.
                      Même s'il s'agissait d'une histoire de cache comme précédemment évoqué, comment expliquer que la purge de ces caches de navigateurs et de mes propres sites n'ait rien changé sur mon PC ?
                      Tu peux tester via ssl labs pour confirmer :
                      https://www.ssllabs.com/ssltest/
                      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                      Commentaire


                      • #41
                        Re : Attention https obligatoire !

                        Merci Yann ! j'ai déjà testé avec un outil Symantec qui reconnaît bien les certificats comme présents. Ssllabs cote mes sites en "A".
                        Sur mon PC, j'ai bien le cadenas sous Firefox, IE et Safari pour fontanil.info, joomla.org et joomxtensions.com. Sur ma tablette et mon smartphone, idem sous Chrome.
                        Ce que je ne comprends pas, c'est pourquoi sur mon PC, Chrome et Opera m'affichent ce triangle rouge et https en rouge barré pour ces trois sites et pour ssllabs.com, ce qui donc peut se produire chez n'importe quel visiteur...
                        Je ne pense pas avoir touché les paramètres de sécurité de chrome, et encore moins ceux d'Opera que je n'utilise qu'exceptionnellement.
                        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                        Commentaire


                        • #42
                          Re : Attention https obligatoire !

                          Bonsoir,


                          Certains utilisateurs de forums disent avoir résolu le problème en modifiant un paramètre SSL de leur antivirus (par exemple Bitdefender et Kaperski sont cités).
                          Créateur de sites internet — Agence web indépendante http://www.e-33.fr | http://www.quali-site.fr (région de Bordeaux)

                          Commentaire


                          • #43
                            Re : Attention https obligatoire !

                            Robert, je pense comprendre un peu ton problème...

                            Qualy SSL affiche un A et non un A+ car le HSTS n'est pas déployé comme sur joomla.fr (de plus je crois savoir qu'un délai de 180 jours est nécessaire pour obtenir la note maxi), ce qui est le cas de joomla.fr :
                            https://www.ssllabs.com/ssltest/analyze.html?d=joomla.fr


                            dans le fichier htaccess, on peut ajouter avec beaucoup de prudence... :
                            <IfModule mod_headers.c>
                            Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS
                            </IfModule>

                            https://hstspreload.appspot.com/?domain=joomxtensions.com`http://joomxtensions.com` (HTTP) should immediately redirect to `https://joomxtensions.com` (HTTPS) before adding the www subdomain. Right now, the first redirect is to `https://www.joomxtensions.com/`.

                            Be aware that inclusion in the preload list cannot easily be undone. Domains can be removed, but it takes months for a change to reach users with a Chrome update and we cannot make guarantees about other browsers. Don't request inclusion unless you're sure that you can support HTTPS for your entire site and all its subdomains the long term.

                            l'ajout de www doit se faire après avoir passé en https et non avant dans ton réglage htaccess.
                            Tous les sous-domaines sont absolument en https et une fois enregistré, c'est difficile de modifier donc prudence...
                            c'est tout au moins ce que j'ai compris.

                            Comme l'indique plusieurs sites de test ssl : "Nice !"
                            joomxtensions has a certificate chain signed with SHA-2.
                            https://shaaaaaaaaaaaaa.com/check/joomxtensions.com/

                            Une piste pour ton pc... :
                            If Chrome still says the site uses SHA-1, it's probably a chain caching bug on your com****r.
                            Observed on a single PC, so far - other PCs are choosing SHA-2 CA chain.

                            Quand tu indique avoir vidé le cache, tu as déjà essayé l'outil certutil pour la CLR ( Certificate Revocation List ) ?

                            Comme le dit PhilJ, le problème vient peut être de ton antivirus et dans tous les cas, il faut explorer toutes les pistes.

                            Pour ma part, je n'ai aucune alerte mis à part des problèmes de jquery de joomxtensions visible dans la console de chrome.
                            Cela n'a certainement rien à voir mais c'est toujours mieux de les corriger pour s'en assurer.

                            Yann
                            Dernière édition par daneel à 09/10/2016, 23h40
                            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                            Commentaire


                            • #44
                              Re : Attention https obligatoire !

                              Merci à vous deux, PhilJ et daneel !
                              J'ai du mal à comprendre qu'un paramétrage de mon antivirus (Bitdefender) change la reconnaissance selon les navigateurs. C'est le même antivirus sur ma tablette Surface, sans paramétrage particulier ni sur le PC, ni sur la tablette.
                              Sur ssllabs.com, les certificats, comme pour joomla.fr, sont donnés comme "Fngerprint SHA 1" avec SHA256withRSA et TLS 1.2.
                              Et Chrome considère toujours joomla.fr comme non (ou mal) sécurisé avec la mention :
                              This page is insecure (broken HTTPS).
                              Et je ne comprends pas pourquoi https://shaaaaaaaaaaaaa.com dit que c'est un certificat SHA 2 quand SSL Labs dit que c'est un SHA 1 !

                              Quant à rediriger d'abord vers le https avant le www, je ne sais pas où je pourrais placer le code, mes sites étant protégés par aeSecure dont les instructions interviennent avant mon propre .htaccess, et comme je l'ai dit plus haut, j'ai depuis longtemps une redirection vers www dans le .htaccess standard. Je me demande d'ailleurs si le passage en www n'est pas automatique au niveau de mon serveur mutualisé.

                              Je suis allé voir dans les paramètres de Chrome, gestion HTTPS/SSL -> Gérer les certificats : je suis incapable d'y comprendre quoi que ce soit...
                              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                              Commentaire


                              • #45
                                Re : Attention https obligatoire !

                                Bien !
                                Après de nouvelles recherches en fonction de ce qui m'a déjà dit, je me suis aperçu que certains certificats étaient censés être liés à BitDefender qui est donc mon antivirus. Et en désactivant l'Analyse SSL dans ses paramètres, je retrouve le cadenas vert dans Chrome et Opera !
                                Mais si j'ai eu tant de mal à trouver la solution (tout en me posant maintenant la question de savoir quelles conséquences éventuelles cette désactivation aura), qu'en sera-t-il de visiteurs lambda ?
                                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                                Commentaire

                                Annonce

                                Réduire
                                1 sur 2 < >

                                C'est [Réglé] et on n'en parle plus ?

                                A quoi ça sert ?
                                La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                                Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                                Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                                Comment ajouter la mention [Réglé] à votre discussion ?
                                1 - Aller sur votre discussion et éditer votre premier message :


                                2 - Cliquer sur la liste déroulante Préfixe.

                                3 - Choisir le préfixe [Réglé].


                                4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                                2 sur 2 < >

                                Assistance au forum - Outil de publication d'infos de votre site

                                Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                                Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                                Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                                UTILISER À VOS PROPRES RISQUES :
                                L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                                Problèmes connus :
                                FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                                Installation :

                                1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                                Archive zip : https://github.com/AFUJ/FPA/zipball/master

                                2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                                3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                                4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                                5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                                6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                                et remplacer www. votresite .com par votre nom de domaine


                                Exemples:
                                Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                                Télécharger le script fpa-fr.php dans: /public_html/
                                Pour executer le script: http://www..com/fpa-fr.php

                                Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                                Télécharger le script fpa-fr.php dans: /public_html/cms/
                                Pour executer le script: http://www..com/cms/fpa-fr.php

                                En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                                Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                                Voir plus
                                Voir moins

                                Partenaire de l'association

                                Réduire

                                Hébergeur Web PlanetHoster
                                Travaille ...
                                X