Activons HTTPS (SSL/TLS) pour les sites Web, gratuitement

 Activons HTTPS (SSL/TLS) pour les sites Web, gratuitement

Let’s Encrypt est une autorité de certification (AC ou CA pour Certificate Authority en anglais) gratuite, automatisée et ouverte, exploitée pour le bénéfice du public. C’est un service fourni par Internet Security Research Group (ISRG).

Nous donnons aux gens les certificats numériques dont ils ont besoin pour activer HTTPS (SSL/TLS) pour les sites Web, gratuitement, de la manière la plus intuitive possible. Nous faisons cela parce que nous voulons créer un Web plus sûr et respectueux de la vie privée.

Pour en savoir plus sur notre dernière année en revue, téléchargez notre rapport annuel.

Les principes clés de Let’s Encrypt sont les suivants :

• Gratuit: Toute personne possédant un nom de domaine peut utiliser Let’s Encrypt pour obtenir un certificat reconnu, à coût nul.
• Automatique: Un logiciel fonctionnant sur un serveur web peut interagir avec Let’s Encrypt pour obtenir sans peine un certificat, le configurer en toute sécurité pour son utilisation et s’occuper automatiquement de son renouvellement.
• Securisé: Let’s Encrypt servira de plate-forme pour faire progresser les meilleures pratiques de la sécurité TLS, tant du côté de l’autorité de certification que pour aider les responsables de site Web à sécuriser correctement leurs serveurs.
• Transparent: Tous les certificats délivrés ou révoqués seront enregistrés publiquement et disponibles pour inspection par quiconque.
• Ouvert: Le protocole de délivrance et de renouvellement automatique est publié comme une norme ouverte que d’autres pourront adopter.
• Coopératif: Tout comme les protocoles Internet sous-jacents eux-mêmes, Let’s Encrypt est un effort conjoint au profit de la communauté, qui échappe au contrôle d’une seule organisation.

Nous avons une page avec des informations plus détaillées sur comment fonctionne l’AC Let’s Encrypt.

Soutenez un Web plus sûr et plus respectueux de la vie privée.

 

REF.:  https://letsencrypt.org/fr/

Comprendre l’erreur 403 lors de l’accès à un site web

https, sites web, erreur 403

Lorsque vous tentez d’accéder à un site internet (Google, Orange, etc) ou autres, le site ne se charge pas et une erreur 403 « access forbidden » apparaît.
La page n’est donc pas disponible et vous ne pouvez pas consulter le site souhaité.
Cet article vous explique ce qu’est l’erreur 403 et comment réagir dans le cas où celle-ci s’affiche.

Table des matières [masquer]

• 1 Comprendre l’erreur 403 forbidden lors de l’accès à un site
• 2 Comment contourner l’erreur 403
  • 2.1 Désactiver votre antivirus ou protections
  • 2.2 Vider le cache internet
  • 2.3 Tester avec une autre adresse IP
  • 2.4 Contacter l’administrateur du site
• 3 Liens autour des problèmes de connexion

Comprendre l’erreur 403 forbidden lors de l’accès à un site

L’erreur 403 est une erreur HTTP produite par le serveur WEB sur lequel vous vous connectez.
Cette erreur est une interdiction de consulter une ressources du site WEB.
Dans le cas d’une tentative de consultation d’une page internet du site, vous aurez alors cette erreur 403.
Le message peut-être personnalisé par l’administrateur du site ou différents selon le logiciel du serveur WEB (apache, nginx, etc)
Vous pouvez donc obtenir un des messages suivants :

• 403 Forbidden
• HTTP 403
• Forbidden
• HTTP Error 403 – Forbidden
• HTTP Error 403.14 – Forbidden
• Error 403
• Forbidden: You don’t have permission to access [directory] on this server
• Error 403 – Forbidden

Ci-dessous l’erreur 403 sur le site malekal.com avec un message personnalisé :

Comme l’erreur est retournée par le serveur WEB, il n’y a que l’administrateur du site qui peut débloquer son accès.
Parfois ces restrictions sont mises en place par des protections et donc il peut s’agit d’une faux positif qui vous bloque l’accès au site et retourne une erreur 403.
La pire situation étant que votre adresse IP ait été blacklisté (liste noire) par le serveur WEB.

Voici quelques solutions pour tenter de contourner cette erreur 403.

Comment contourner l’erreur 403

Vérifier l’URL
Dans un premier temps, vérifiez bien l’adresse du site que vous visitez.
Tenter d’accès à la page d’accueil.
Par exemple, si vous tentez d’accéder à http://www.supersite.com/bllbla/ici/lala tentez de revenir à la page d’accueil en http://www.supersite.com
L’URL du site se termine toujours par le TLD soit donc .com, .net, .fr

Désactiver votre antivirus ou protections

Votre antivirus peut blacklister le site et considérer ce dernier comme malveillant, l’accès peut alors être bloqué avec une erreur 403.
Ce n’est pas le site WEB qui renvoie l’erreur mais votre antivirus qui s’intercale entre votre navigateur internet et le serveur WEB.
Si vous êtes certains que le site est sans danger, tentez de désactiver votre antivirus afin de s’assurer qu’il n’ait pas la source des erreurs 403.

Vider le cache internet

Tentez alors de vider le cache internet de votre navigateur internet.
Parfois cela peut interférer avec la consultation du site et aboutir à l’erreur 403.
Pour se faire, appuyez sur la touche CTRL+Maj+Suppr afin d’ouvrir la boîte de dialogue qui permet de vider les caches du navigateur internet.
Dans la liste, videz le cache internet.

Tester avec une autre adresse IP

Si vous avez accès à un VPN ou un proxy, tester avec.
Si le site peut-être consulté alors il est fort probable que votre adresse IP ait été blacklisté par le serveur WEB.
A l’inverse, si vous utilisez déjà un VPN, tentez de vous y connecter sans ce dernier.
Dans ce cas, la seule solution est de contacter l’administrateur du site afin de faire retirer votre adresse IP de la liste noire.

Contacter l’administrateur du site

Enfin, si cela ne fonctionne toujours pas et que l’erreur 403 persiste, contactez l’administrateur du site internet.
En général, un bouton contacter est présent en bas ou dans les menus du site.
Indiquez l’heure des tentatives d’accès au site afin que l’administrateur puisse investiguer.
Pensez que l’administrateur n’est pas forcément français.

Liens autour des problèmes de connexion

Quelques autres liens autour des problèmes de connexion à un site internet.

• Erreur HTTP et problème de connexion à un site Web
• Impossible de se connecter à internet
• Mesurer le débit/vitesse de sa connexion

REF.:

ETag et le pistage des internautes sans cookies

Il existe de nombreuses techniques et technologies pour pister les internautes.
On connaît l’empreinte digitale des navigateurs internet (Browser Finger Printing), les tracking cookies… Cet article évoque celle de l’Etag.
Le fonctionnement est assez similaire aux tracking cookies, de ce fait, par extension, on peut nommer cette méthode :  HTTP cookies
Le but est de comprendre cette technique et comment s’en protéger.

Table des matières [masquer]

• 1 Pistage des internautes : technique de l’Etag
  • 1.1 Contre mesure du HTTP cookies
• 2 Autres liens autour du pistage des internautes

Pistage des internautes : technique de l’Etag

Pour ne pas refaire le monde, voici la définition de la page Wikipedia sur le Etag.
Un ETag est un identifiant unique opaque assigné par le serveur web à chaque version d’une ressource accessible via une URL. Si la ressource accessible via cette URL change, un nouvel ETag différent du précédent sera assigné. Utilisés ainsi, les ETags sont similaires à des empreintes digitales, et peuvent être rapidement comparés pour vérifier si deux versions sont identiques, et ainsi savoir si une demande peut être honorée par un cache local ou pas.
Source Wikipedia
Un serveur WEB attribue à ses ressources un identifiant (ETags).
Lorsqu’un navigateur internet demande une page internet, les ressources (images, etc) sont envoyées par le serveur WEB au navigateur internet avec un identifiant Etag.
Cela permet lorsque vous retournez sur la page, de savoir si cette ressource a été modifiée entre temps, si ce n’est pas le cas, le navigateur internet pioche dans son cache internet au lieu de redemander la ressources.
Cela permet d’économiser de la bande passante des deux côtés et faire en sorte que les pages internet se charge plus vite.
Le schéma ci-dessous récapitule cette transaction :

Ci-dessous, la réponse avec l’en-tête HTTP avec les champs ETags.

Avec l’identifiant et la date, il est alors possible de générer un identifiant unique afin de vous pister.
Pour tester ce pistage utilisateur, vous pouvez vous connecter au site suivant : https://ochronus.com/tracking-without-cookies/
Ce dernier est capable d’afficher la dernière connexion établie et la date.
Il peut lier votre passage à une information saisie pour la ré-afficher lors d’un prochain passage.
Le site est donc capable de vous reconnaître et vous pister.

Contre mesure du HTTP cookies

Il n’y a pas vraiment de mesures efficaces. Les extensions de protection de la vie privée ne semble pas protéger contre ce type de pistage.
Si vous tester le lien précédent, dans la majorité des cas, le site est capable de vous pister.
Pour qu’il ne puisse plus vous reconnaître, il faut vider le contenu du site : Comprendre le cache internet et de Windows

Donc pour être protéger, il faudrait soit :

• Vider le cache et contenu des sites internet à chaque fermeture du navigateur internet
• surfer en mode navigation privée de manière permanente puisque dans ce mode, le cache internet n’est pas utilisé : Chrome/Firefox/Edge : navigation privée

Ces deux solutions possèdent un inconvénient, vous ne bénéficiez plus du cache de votre navigateur internet notamment dans le second cas.
Ainsi à chaque connexion, tout le contenu est re-télécharger, cela bouffe la bande passante et peut ralentir le chargement des pages internet.

Autres liens autour du pistage des internautes

Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
Il existe aussi un article dédiée à la protection des mouchards sur internet : Comment se protéger du pistage sur internet
De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

REF.:

Firefox: Le blocage du contenu mixte (le HTTPS)

(Redirigé depuis How does content that isn't secure affect my safety?)

Firefox vous protège des attaques en bloquant le contenu potentiellement malveillant et non sécurisé des pages web qui sont censées être sûres. Poursuivez la lecture pour en apprendre plus sur le contenu mixte et savoir quand Firefox l'a bloqué.

Qu'est-ce que le contenu mixte ?

HTTP est un protocole de transmission des informations d'un serveur web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes et aux attaques. La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n'ont donc pas besoin d'être sécurisées.
Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.

Note : Pour plus d'informations sur le contenu mixte (actif et passif), visitez cet article de blog en anglais.

Quels sont les risques des contenus mixtes ?

Un pirate peut remplacer les données HTTP de la page afin de voler vos identifiants, s'emparer de votre compte, acquérir des données sensibles vous concernant, modifier le contenu de la page ou tenter d'installer des logiciels malveillants sur votre ordinateur.

Comment puis-je savoir qu'une page contient du contenu mixte ?

Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.

Pas de contenu mixte : sûr

•  : vous verrez un cadenas vert lorsque vous êtes sur une page entièrement sécurisée qui ne tente pas de charger des éléments non sécurisés.

Contenu mixte bloqué : sûr

•  : vous verrez un cadenas vert avec un triangle d'avertissement gris lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela signifie que la page est désormais sûre. Cliquez sur l'icône pour afficher le centre de contrôle et obtenir plus de détails de sécurité sur la page.

Contenu mixte pas bloqué : pas sûr

•  : si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque pas les éléments non sécurisés, que cette page est vulnérable aux écoutes et aux attaques, et que vos données personnelles à partir du site peuvent vous être volées. Vous ne devriez pas voir cette icône, sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante.

•  : un cadenas gris avec un triangle orange indique que Firefox ne bloque pas le contenu passif non sécurisé. Les pirates peuvent être capables de manipuler des parties de la page, par exemple en affichant du contenu falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos données personnelles à partir du site.

Débloquer le contenu mixte

Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :

1. Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
2. Cliquez sur la flèche dans le centre de contrôle :

   

3. Cliquez sur Désactiver la protection pour l'instant.

   

Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection

Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.

Développeurs : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez cet article de MDN : Régler le problème du contenu mixte dans un site web.

* SSL Checker online :  https://www.jitbit.com/sslcheck/#

Régler le problème du contenu mixte dans un site web

À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.

Votre site web risque d'être  cassé

Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.

Remarque : comme les contenus mixtes sont déjà bloqués par Chrome et Internet Explorer, si votre site fonctionne avec ces deux navigateurs, il y a de grandes chances qu'il fonctionne également avec Firefox avec le blocage du contenu mixte.

Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web (activez-la à partir des messages de sécurité) et de regarder si elle signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un sytème d'analyse en ligne comme SSL-check qui parcourt tout votre site web de façon récursive et détecte les liens vers du contenu non sûr. Si aucune alerte à du contenu mixte n'apparaît, votre site web est en bonne santé : bravo et continuez à produire des sites web de bonne qualité !

Comment régler le problème

Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.
Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.
Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.

Source.:

Votre employeur peut espionner vos communications car le déchiffrement HTTPS est parfaitement « légitime »

Votre employeur peut espionner vos communications chiffrées, et la CNIL est d’accord

La Commission nationale informatique et libertés donne sa bénédiction au déchiffrement des flux HTTPS des salariés, à condition que cette pratique soit encadrée. Il reste néanmoins une zone de flou juridique côté pénal...

 

 

agrandir la photo

Saviez-vous que certains employeurs déchiffrent systématiquement les flux HTTPS de leurs salariés lorsqu’ils surfent sur Internet ? Ils disposent pour cela d’un équipement appelé « SSL Proxy » qui se place entre l’utilisateur et le serveur Web. Cette boîte magique déchiffre tous les échanges en usurpant l’identité du service interrogé (google.com, par exemple), par l’utilisation d’un certificat bidon. La pratique n’est pas du tout récente, mais se fait de manière un peu cachée en raison d'incertitudes juridiques et de l'impopularité de cette mesure auprès des salariés. Les directeurs informatiques n’ont, par conséquent, pas une folle envie d’en faire la publicité.

Mais l’employeur peut se rassurer : la CNIL vient de publier une note qui clarifie les choses. Ainsi, la Commission estime que le déchiffrement des flux HTTPS est parfaitement « légitime », car elle permet à l’employeur d’assurer « la sécurité de son système d’information », en bloquant les éventuels malwares qui s’y trouveraient. Evidemment, ce n’est pas la seule raison : ces équipements sont également utilisés pour prévenir les fuites d’informations. Un salarié qui enverrait des documents confidentiels à un concurrent pourrait, ainsi, être facilement repéré.

Infraction pénale ou pas ?

Toutefois, la CNIL met un (petit) bémol. L’utilisation de cette technique de surveillance doit être « encadrée ». Ainsi, les salariés doivent être informés en amont et de manière « précise » sur cette mesure : raisons invoquées, personnes impactées, nature de l’analyse effectuée, données conservées, modalités d’investigation, etc. L’employeur doit également mettre en place une « gestion stricte des droits d’accès des administrateurs aux courriers électroniques ». Autrement dit : éviter que tous les membres du service informatique puissent fouiller dans les messageries. Par ailleurs, les « traces conservées » doivent être réduites au minimum.

Il reste néanmoins une petite zone de flou juridique, nous explique la CNIL. En effet, le Code pénal interdit théoriquement « d’entraver ou de fausser le fonctionnement d’un système de traitements automatisés de données (STAD) ». Or, quand l’entreprise déchiffre les flux Gmail de ses salariés, on peut estimer que cela fausse le fonctionnement du STAD d’un tiers, à savoir Google. Cela pourrait donc constituer une infraction. Conclusion de la CNIL : il faudrait peut-être modifier le Code pénal pour que l’employeur puisse réellement surveiller ces flux chiffrés en toute tranquillité. Décidément, la situation n'est pas encore totalement claire... 

A lire aussi :Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS - 18/03/2015

Source :
CNIL

HTTPS: Le chiffrement TLS/SSL en 30 secondes en 2015

Hacktivistes et firmes high-tech veulent «chiffrer tout le Web»

L'EFF, Mozilla, Cisco, Akamai et IdenTrust vont proposer des certificats SSL gratuits et qui ne nécessiteraient que trente secondes pour être installés. Objectif : généraliser l’usage du protocole HTTPS.

agrandir la photo

Tous les défenseurs des droits civiques sont unanimes : pour protéger la vie privée des internautes, il faut renforcer le chiffrement des communications. Le problème, c’est que de nombreux services en ligne ne proposent même pas les bases du chiffrement Web, à savoir HTTPS.

Les hacktivistes d’Electronic Frontier Foundation (EFF) viennent de s’associer à Mozilla, Cisco, Akamai, IdenTrust et l’université du Michigan pour tenter de généraliser l’usage de ce protocole à l’ensemble de la Toile. Ensemble, ces différents acteurs vont créer une nouvelle autorité de certification baptisée « Let’s encrypt ». Son objectif est de permettre aux administrateurs de site de percevoir gratuitement des certificats de chiffrement TLS/SSL et, surtout, de pouvoir les installer de manière simple. « Pour de nombreux administrateurs, obtenir ne serait-ce qu’un certificat de base est déjà compliqué. Le processus de demande peut être source de confusion. Son obtention coûte de l’argent. C’est difficile de l’installer correctement. Sa mise à jour est douloureuse », peut-on lire dans un communiqué du site letsencrypt.org.

Selon l'EFF, un développeur web doit actuellement investir entre une et trois heures de temps pour activer le chiffrement TLS/SSL pour la première fois. Avec l’initiative « Let’s encrypt », l’objectif est de réduire ce délai à 30 secondes maximum. Pour cela, il suffira d’installer un assistant logiciel créé spécialement à cet effet. Techniquement, cet outil repose sur un protocole innovant développé par EFF. Baptisé ACME, il est capable d’automatiser l’approvisionnement et l’installation de certificats.

Le service « Let’s encrypt » sera disponible en été 2015.

Source.: