Re : Attention https obligatoire !

Merci à vous deux, PhilJ et daneel !
J'ai du mal à comprendre qu'un paramétrage de mon antivirus (Bitdefender) change la reconnaissance selon les navigateurs. C'est le même antivirus sur ma tablette Surface, sans paramétrage particulier ni sur le PC, ni sur la tablette.
Sur ssllabs.com, les certificats, comme pour joomla.fr, sont donnés comme "Fngerprint SHA 1" avec SHA256withRSA et TLS 1.2.
Et Chrome considère toujours joomla.fr comme non (ou mal) sécurisé avec la mention :Et je ne comprends pas pourquoi https://shaaaaaaaaaaaaa.com dit que c'est un certificat SHA 2 quand SSL Labs dit que c'est un SHA 1 !

Quant à rediriger d'abord vers le https avant le www, je ne sais pas où je pourrais placer le code, mes sites étant protégés par aeSecure dont les instructions interviennent avant mon propre .htaccess, et comme je l'ai dit plus haut, j'ai depuis longtemps une redirection vers www dans le .htaccess standard. Je me demande d'ailleurs si le passage en www n'est pas automatique au niveau de mon serveur mutualisé.

Je suis allé voir dans les paramètres de Chrome, gestion HTTPS/SSL -> Gérer les certificats : je suis incapable d'y comprendre quoi que ce soit...

Re : Attention https obligatoire !

Robert, je pense comprendre un peu ton problème...

Qualy SSL affiche un A et non un A+ car le HSTS n'est pas déployé comme sur joomla.fr (de plus je crois savoir qu'un délai de 180 jours est nécessaire pour obtenir la note maxi), ce qui est le cas de joomla.fr :
https://www.ssllabs.com/ssltest/analyze.html?d=joomla.fr

dans le fichier htaccess, on peut ajouter avec beaucoup de prudence... :
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS
</IfModule>

https://hstspreload.appspot.com/?domain=joomxtensions.com`http://joomxtensions.com` (HTTP) should immediately redirect to `https://joomxtensions.com` (HTTPS) before adding the www subdomain. Right now, the first redirect is to `https://www.joomxtensions.com/`.

Be aware that inclusion in the preload list cannot easily be undone. Domains can be removed, but it takes months for a change to reach users with a Chrome update and we cannot make guarantees about other browsers. Don't request inclusion unless you're sure that you can support HTTPS for your entire site and all its subdomains the long term.

l'ajout de www doit se faire après avoir passé en https et non avant dans ton réglage htaccess.
Tous les sous-domaines sont absolument en https et une fois enregistré, c'est difficile de modifier donc prudence...
c'est tout au moins ce que j'ai compris.

Comme l'indique plusieurs sites de test ssl : "Nice !"
joomxtensions has a certificate chain signed with SHA-2.


Une piste pour ton pc... :
If Chrome still says the site uses SHA-1, it's probably a chain caching bug on your com****r.
Observed on a single PC, so far - other PCs are choosing SHA-2 CA chain.
Quand tu indique avoir vidé le cache, tu as déjà essayé l'outil certutil pour la CLR ( Certificate Revocation List ) ?

Comme le dit PhilJ, le problème vient peut être de ton antivirus et dans tous les cas, il faut explorer toutes les pistes.

Pour ma part, je n'ai aucune alerte mis à part des problèmes de jquery de joomxtensions visible dans la console de chrome.
Cela n'a certainement rien à voir mais c'est toujours mieux de les corriger pour s'en assurer.

Yann

Re : Attention https obligatoire !

Bonsoir,


Certains utilisateurs de forums disent avoir résolu le problème en modifiant un paramètre SSL de leur antivirus (par exemple Bitdefender et Kaperski sont cités).

Re : Attention https obligatoire !

Merci Yann ! j'ai déjà testé avec un outil Symantec qui reconnaît bien les certificats comme présents. Ssllabs cote mes sites en "A".
Sur mon PC, j'ai bien le cadenas sous Firefox, IE et Safari pour fontanil.info, joomla.org et joomxtensions.com. Sur ma tablette et mon smartphone, idem sous Chrome.
Ce que je ne comprends pas, c'est pourquoi sur mon PC, Chrome et Opera m'affichent ce triangle rouge et https en rouge barré pour ces trois sites et pour ssllabs.com, ce qui donc peut se produire chez n'importe quel visiteur...
Je ne pense pas avoir touché les paramètres de sécurité de chrome, et encore moins ceux d'Opera que je n'utilise qu'exceptionnellement.

Re : Attention https obligatoire !

Tu peux tester via ssl labs pour confirmer :

Re : Attention https obligatoire !

peut être un réglage dans le navigateur ? une piste là

edit:
ta pas une extension qui te fout le bizarre ?

Re : Attention https obligatoire !

Pareil,
j'ai bien tous les cadenas verts

Je me suis posé la même question il y a quelque temps ... et le lendemain alors que je bataillais la veille au soir, tous les cadenas etaient bien au vert ! A se demandé s'il n'y avait pas un histoire de propagation ... un peu comme les redirections de dns.

Par contre j'ai eu un soucis dans un template qui appelait directement des polices en http (donc en dur) il a juste fallu que je modifie ces ligne dans le template pour avoir le cadenas bien vert sans alerte

Re : Attention https obligatoire !

C'est vraiment curieux, cette différence !

Complément : je viens de tester ces trois sites sur ma tablette Surface 3 et Chrome : le cadenas vert est bien présent.
Même s'il s'agissait d'une histoire de cache comme précédemment évoqué, comment expliquer que la purge de ces caches de navigateurs et de mes propres sites n'ait rien changé sur mon PC ?

Re : Attention https obligatoire !

De mon côté, sous Chrome et sur PC j'ai bien le cadenas vert, donc pas de soucis chez moi sur tous les sites mentionnés.

Re : Attention https obligatoire !

J'ai beau tout faire, ça ne change rien sous Chrome et Opera.
Seuls Firefox, Safari et IE considèrent les sites comme protégés.
Cela concerne les deux sites www.joomxtensions.com et www.fontanil.info, mais je retrouve le même problème sur www.joomla.org, avec le même message concernant le chiffrement faible.
Sur une des pages de joomxtensions.com, sous Chrome, je trouve cette info : et au-dessous, plus rassurant, mais les visiteurs n'iront pas chercher ces informations : Pire sous Opera, le site est déclaré non sécurisé ("Connexion non protégée"), et en complément Par contre, sur mon Smartphone, Chrome considère bien les sites comme chiffrés, avec le cadenas en début d'adresses !

Re : Attention https obligatoire !

@Robert
j'ai deja eu ce problème
Il a été résolu en vidant tous les caches ... serveur et navigateur plusieurs fois
Il faut aussi bien regarder dans la console de firbug par exemple s'il n'y a pas des erreurs avec des liens en dur vers du http://

Il est vrai que parfois ça passe tout seul en forçant le https:// dans Joomla! et parfois en forçant dans le Htaccess
Perso, je fais les deux, car je force aussi le www dans mon htaccess

Re : Attention https obligatoire !

En effet !

Re : Attention https obligatoire !

oui, mais dans ce cas c'est pas la redirection dans le htaccess qui y changera quelques chose, mais le type de certificat, non ?

Re : Attention https obligatoire !

Merci !
J'ai forcé HTTPS dans la configuration et ça bascule en effet automatiquement en https sans modification du .htaccess, avec le cadenas vert sous Firefox (PC).
Par contre, sous Chrome, au lieu du cadenas, j'ai un triangle rouge et https est en rouge barré dans l'adresse ! Il y a la mention De quoi inquiéter le visiteur, si Google ne considère pas les certificats Let's encrypt comme suffisamment protecteurs !!!

Complément : Opera considère lui aussi le site comme non sécurisé !

Re : Attention https obligatoire !

techniquement, je ne sais pas s'il faut le faire,
en tout cas, juste en forçant dans joomla chez moi cela fonctionne d'un côté pratique.