Suport technique et veille technologique

Les serveurs utilisent des certificats TLS (ex SSL) pour permettre des échanges chiffrés avec les navigateurs (éviter les écoutes, les modifications, protéger la vie privée, sécuriser des échanges financiers, permettre de vérifier que le serveur est le bon, etc.). Et donc soit on auto-certifie son propre certificat, soit on passe par une autorité de certification (ou une chaîne d'autorités).

Côté client, les autorités acceptées sont gérées soit par le navigateur (Firefox, Chrome, Opéra, un navigateur basé sur java…) et c'est alors spécifique au navigateur , soit le navigateur délègue ça au système (rekonq, konqueror, iceweasel…) et c'est alors spécifique au système.

LinuxFr.org utilise un même certificat sur les différents domaines gérés, dont les serveurs de production et de test, le serveur cache des images, ainsi que le gestionnaire de listes de diffusion. Ce certificat doit être mis à jour sous peu (le 7 juin). Et comme à chaque mise à jour, les mêmes questions vont revenir, c'est donc l'occasion de faire le point sur le sujet (dans la seconde partie de la dépêche).

Voici quelques questions que vous pouvez vous poser à ce sujet :

• d'abord les points déjà présents dans la foire aux questions :
  • comment gérer l'alerte dans les navigateurs en raison de l'autorité de confiance Cacert
  • pourquoi nous ne prenons pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur
  • pourquoi les avatars et images ne s'affichent pas chez moi en HTTPS ? (oui le certificat est utilisé sur les différents domaines du site, dont les serveurs de production et de test, ainsi que le gestionnaire de listes de diffusion)
• pas d'utilisation de HSTS : d'une part, nous ne voulons pas forcer tous nos utilisateurs à passer en HTTPS, d'autre part, si la navigateur ne reconnaît pas le certificat, alors il affiche une page blanche au lieu de la page d'avertissement qui permet d'ajouter un certificat.
• utilisation de cookies pour rester en HTTPS : quand quelqu'un se connecte depuis la version HTTPS du site, ses cookies sont en mode sécurisé : ils ne sont envoyés que quand on se connecte en HTTPS, pas en HTTP. Un autre cookie https, pas secure celui-là, est également ajouté. Quand ce cookie est présent et que l'utilisateur demande une page en HTTP, il est automatiquement redirigé vers la page équivalent en HTTPS.
• HTTPS Everywhere : aux dernières nouvelles, l'extension ne fonctionnait pas bien avec le site.
• la syntaxe « relative protocol» (on ne précise pas HTTP ou HTTPS, celui-ci reste le même que sur la page actuellement consultée qui contient le lien) est autorisée par les RFC 1808 partie 2.2 et RFC 3986 partie 4.2.
• la question des flux Atom : les lecteurs de flux ne supportent pas toujours les cookies.
• l'autorité CaCert a renforcé son système d'assurance : les assureurs doivent passer avec succès un test sous forme de QCM avec 25 questions (prises au hasard dans un ensemble plus vaste) sur la procédure d'assurance, les certificats, le fonctionnement de CaCert, etc. J'étais déjà assureur pour l'association LinuxFr et j'ai par exemple dû passer le test pour récupérer mon statut et produire le nouveau certificat. C'est une bonne chose de vérifier les connaissances des assureurs.

Une fois que l'on a rappelé tout cela, on peut espérer qu'un certain nombre de nos visiteurs auront vu cette dépêche avant de rencontrer un souci lors du changement de navigateur. Mais peut-on faire plus, comment détecter qu'un navigateur va avoir un souci de certificat sur un serveur donné ?

L'entrée dans le système de suivi Proposer une page d'aide à la configuration HTTPS cherche à trouver une solution permettant de prévenir les soucis : il faudrait créer une page d'aide pour la configuration HTTPS. Cette page comporterait des explications sur le certificat CAcert utilisé par LinuxFr.org ainsi qu'un mécanisme pour détecter si l'utilisateur peut accéder à linuxfr.org et au sous-domaine img.linuxfr.org. N'hésitez pas à contribuer à cette réflexion !