[TuxFamily] LGL certifié par Let’s Encrypt
«L’hébergeur pour les gens libres», TuxFamily, offre maintenant à toute sa «famille» une connexion sécurisée avec un certificat reconnu par Mozilla. Heureuse nouvelle pour Liberté GNU/Linux (LGL)
TuxFamily (TF) offre depuis des lustres une connexion sécurisée et authentifiée (TLS) à ses hébergés mais le certificat était jusqu’à présent auto-signé. En effet, il était signé par TuxFamily et non par une autorité de certification reconnue par Mozilla. Il était donc difficile de faire accepter et faire vérifier par tous les visiteurs une telle connexion qui ne plaisait pas d’emblée à Firefox. De plus, le domaine des images n’était pas du tout accessible en TLS, ce qui ne plaisait pas non plus à Firefox. Pour en savoir plus, voyez un article de Stéphane Bortzmeyer, un de nos spécialistes français de l’internet, Pourquoi le certificat de la CNIL n’est pas reconnu et autres belles histoires au coin du feu en hiver.
À présent, tout le monde est heureux avec cette connexion bien sécurisée et authentifiée. Donc, en principe, Liberté GNU/Linux en HTTPS ne devrait pas risquer d’être modifié, lu, ou détourné par un malfrat («The man in the middle») interceptant la connexion entre le serveur de TF et votre Firefox.
Pour tous les sites web hébergés chez TuxFamily avec un nom de domaine autre que tuxfamily.org
, l’équipe industrieuse de TF vient d’installer le certificat Let’s Encrypt, accessible à tous gratuitement et qui, pour les administrateurs de serveurs, simplifie beaucoup la mise en place d’une connexion sécurisée, authentifiée et reconnue. «Let’s Encrypt» est une autorité de certification indépendante, lancée dans le sillage des révélations d’Edward Snowden, par l’Internet Security Research Group, qui inclut des gens aussi hétérogènes que des membres de l’EFF (Electronic Frontier Foundation), de la Fondation Mozilla, de l’Université du Michigan, etc. mais aussi des employés de Cisco et d’Akamai.
Pour tout le domaine tuxfamily.org
(et donc, tous ses sous-domaines), l’équipe de TF a installé le certificat GlobalSign. Il est en effet impossible d’installer Let’s Encrypt, encore en version bêta, sur une grande quantité de sous-domaines. La limite est même fixée, pour chaque demandeur, à 5 domaines par semaine, pour des raisons de sécurité.
Ainsi, grâce au bon travail et à la compétence de TuxFamily :
vive-gnulinux.fr.cr
, (le domaine de Liberté GNU/Linux), bénéficie d’une connexion sécurisée TLS (en HTTPS), certifiée par Let’s Encrypt- Les images de Liberté GNU/Linux, hébergées dans le sous-domaine
download.tuxfamily.org
, sont accessibles en connexion sécurisée TLS, certifiée par GlobalSign nv-sa (comme Wikipedia).
Bien entendu, l’ensemble des sites hébergés chez TF et l’ensemble de leur domaine et sous-domaine restent accessibles en HTTP. Il n’y a donc pas un accès unique par HTTPS.
Liberté GNU/Linux entièrement en HTTPS
Voilà, après le bon travail de TuxFamily, j’ai fait ma part de travail de mon côté. À présent, tout le site Liberté GNU/Linux, pages, articles et images (vive-gnulinux.fr.cr
et download.tuxfamily.org
) est à présent en HTTPS. Je vais maintenant forcer l’accès au site en HTPPS uniquement. Cela ne gêne en rien les visiteurs.
Avec NoScript — histoire ancienne
Cette partie fait partie du passé. Voyez juste un peu plus haut.
Je n’ai pas encore fait le nécessaire pour que le site et tous les liens internes au site soient accessibles automatiquement en HTTPS, vu que cette bonne nouvelle est arrivée hier soir.
Mais vous pouvez accéder immédiatement à tout le site en connexion sécurisée, grâce à NoScript, module décidément incontournable pour Firefox. Cela se passe dans les options de NoScript, sous-onglet «HTTPS». Ajoutez deux lignes dans le champ «Forcer … HTTPS» :
- vive-gnulinux.fr.cr
- download.tuxfamily.org
Voyez cette image de l’onglet HTTPS et mes indications sous forme de pastilles oranges :
Si vous n’avez pas oublié de cliquer sur le bouton [OK] (marqué de ma grosse pastille orange sur l’image ci-dessus), il suffit de recharger cette page dans Firefox (touche [F5] du clavier) et le tour est joué. Firefox affiche un petit cadenas vert en tête de l’URL, sur lequel vous pouvez cliquer pour lire les détails. Soyez curieux — seul le certificat Let’s Encrypt appparaît.
NoScript est très pratique car en cas de problème, il suffit de supprimer les deux domaines et vous repassez en HTTP.
Si vous remarquez des problèmes, merci de le signaler à la suite de cet article.
Pour NoScript, module indispensable même en service minimum, voyez :
Si vous allez voir Qualys SSLLabs, vous verrez que Let’s Encrypt offre un très bon niveau de sécurisation de la connexion de Liberté GNU/Linux. Lisez aussi les détails. Si vous vous demandez pourquoi pas A+, je rajouterai des informations (rien d’essentiel). Même si, comme le souligne Stéphane Bortzmeyer dans son article sur la faille Drown, Qualys SSLLabs ne voit pas tout, comparez avec votre banque, c’est édifiant.
Pour l’image d’entête «Let’s Encrypt TF en TLS», j’ai utilisé la bannière du site web Let’s Encrypt et le logo de Tuxfamily, ainsi que deux polices libres, Dynalight (par Astigmatic [Brian J. Bonislawsky], license SIL Open Font License) et BD-Cartoon Shout.