HTTPS/fr

From Meta, a Wikimedia project coordination wiki

HTTPS (article Wikipédia) est un protocole web qui permet d’améliorer la sécurité des communications entre un utilisateur et le serveur. Lorsqu’il est activé, vous pouvez :

  • être sûr que le contenu que vous visualisez n’a pas été modifié par des intermédiaires tels que le fournisseur d’accès ou des systèmes gouvernementaux;
  • raisonnablement espérer que personne ne sait quelles pages vous visitez, et
  • être sûr que personne ne peut changer le contenu de vos contributions lors de leur transport vers les serveurs Wikimedia.

L’amélioration en continu de la sécurité et de la vie privée des utilisateurs des projets Wikimedia est un but affirmé de la Wikimedia Foundation. Ce travail a été renforcé par les révélations d'Edward Snowden pendant l’été 2013 du scandale d’espionnage domestique de la National Security Agency (NSA) aux États-Unis (PRISM et XKeyscore). Le projet Wikipédia était référencé dans plusieurs documents comme une source spécifique pour suivre le comportement en ligne des utilisateurs. Naviguer sur Internet via le protocole HTTP, non sécurisé, permet à des personnes tierces de savoir quelles pages vous visitez ainsi que les informations que vous envoyez.

Redirection de HTTP à HTTPS[edit]

Un Certificat SSL [1] permet d’assurer le chiffrement des données transférées entre le serveur et le navigateur et de confirmer l'authenticité du serveur. La redirection de http vers https est optionnelle ; elle diffère d'un serveur à un autre : Apache Webserver Pour l'administrateur du serveur , Il doit faire la redirection dans le fichier https.conf en utilisant la configuration suivante :

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [archive]

Pour le webhosting, il doit faire le réglage à l'aide d'un fichier .htaccess à l'aide de la configuration suivante :

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [archive]

Nginx Pour le serveur Nginx , il faut ajouter dans la configuration la ligne en gras suivante :

server {

listen 80;

server_name nazev-domeny.cz www.nazev-domeny.cz;

rewrite ^ https://$server_name$request_uri? permanent;

}

server {

listen 443;

server_name my.domain.com;

ssl on;

[....]

}

Type Certificat SSL[edit]

Il existe plusieurs types de Certificat SSL[2] :SAN, Wildcard, EV certificate, certificats de base et code signing.

-Certificat SSL SAN/UC: Certificat qui permet de sécuriser plusieurs domaines qui ne sont pas liés entre eux.

-Certificat SSL wildcard: il permet de sécuriser les sous domaines compris dans un même domaine principal.

-Certificats à validation étendue (EV): Ce sont des certificats d’un haut niveau de sécurisation, ces certificats permettent d’avoir une icône de cadenas et une barre d’adresse verte avec les informations de l’entreprise.

-Certificats code signing: les certificats conçus pour signer les applications afin que le client final soit sûr que l’application n’a pas été modifiée pendant son transfert et elle appartient à l’entreprise.

-Certificats de base: Ce sont des certificats les moins cher sur le marché , ils sont généralement utilisés dans les projets qui nécessitent une grande rapidité d’obtention.

Clé publique et clé privée[edit]

La clé publique est indispensable pour avoir un certificat SSL , elle est généré soit par l'administrateur du site ou par l'administrateur du serveur.

Avant de générer la clé publique , il faut avoir toutes ces informations nécessaires:


Common name: NOM DE DOMAINE

Organization: NOM DE L'ENTREPRISE

Organizational unit: DOMAINE

City/locality: VILLE

State/province: PAYS

Country/region: CODE DU PAYS

Key Size: 2048 bit


Génération de CSR pour Apache et nginx

Le CSR est généré dans OpenSSL, Pour avoir un aperçu de l'emplacement des certificats , vous créez un dossier ssl dan sle répertoire /etc et vous le déplaçez dans ce nouveau répertoire.

mkdir /etc/ssl/test.fr && cd /etc/ssl/test.fr

Maintenant le dossier est créé , vous lançez OpenSSL et générer une clé privée de 2048 bits.

openssl genrsa -out test.fr.key 2048

La clé privée sert à déchiffrer la communication , faites attention que personne n'y accède.

chmod 600 test.fr.key

chown www-data test.fr.key

Puis générez la clé publique avec

openssl req -new -key test.fr.key -out test.fr.csr

On vous demandera de saisir les informations nécessaires citées en haut du paragraphe , n'insérez pas le Challenge mot de passe dans la dérnière étape.

Puis copier le CSR crée dans la commande. Ouvrez-le dans l'éditeur nano et copiez-le.

root@navod:/etc/ssl/test.fr# nano test.fr.csr

Ce que cela signifie pour vous[edit]

Le mercredi 28 août 2013, en plus des améliorations mentionnées en faveur de la vie privée et de la sécurité sur les sites Wikimedia (voir ci-dessous), la Wikimedia Foundation activera le HTTPS par défaut pour tous les utilisateurs connectés. Cela fonctionne simplement de la façon suivante : si un utilisateur veut se connecter, il sera obligé de se connecter en HTTPS (rendant sécurisé son nom d’utilisateur et mot de passe), et lorsqu’il sera connecté il restera sur la version HTTPS du site Wikimedia qu’il utilise.

Pays non-activés[edit]

Quelques utilisateurs vivent dans des pays où le HTTPS n’est pas une option simple en raison d’un blocage explicite par un gouvernement. À la requête de ces communautés, nous avons explicitement retirés les pays dans de tels pays. Ainsi les utilisateurs de Chine et d’Iran ne seront pas obligés d’utiliser HTTPS pour se connecter ni pour visiter les sites des projets Wikimedia.

Désactivation[edit]

Vous trouvez que la navigation sur les sites Wikimedia en HTTPS est lente ou peu fiable ? Vous pouvez alors désactiver le HTTPS dans vos préférences utilisateur dans l’onglet « Informations personnelles » en décochant « Toujours utiliser une connexion sécurisée en étant connecté ».

Au secours ![edit]

Vous ne pouvez pas vous connecter ou éditer un wiki après ce changement ? Vous pouvez contacter l’équipe Opérations de la Wikimedia Foundation par tous les moyens à votre convenance (en anglais de préférence), comme la page de discussion de cet article, sur le canal IRC #wikimedia-operationsconnecter ou via l’adresse de courriel https@wikimedia.org.

Au secours ! Mon code ne marche plus ![edit]

Vous êtes dresseur de bot ou auteur de gadget et vous trouvez bizarre ou non-fonctionnel le comportement de votre code après ce changement ? Heureusement, vous pouvez corriger cela facilement.

Pour les auteurs de gadget, modifiez simplement toutes les URLs écrites en dur comme "http://..." en modifiant en "//..." et cela devrait corriger le problème (ce mécanisme est appelé « urls en protocole relatif » ("protocol relative urls")).

Pour les dresseurs de bot, vous avez deux choix. Soit vous vous connectez à la place du bot et vous sélectionnez la préférence de ne pas utiliser le HTTPS pour ce compte ou alors vous mettez à jour votre code pour utiliser SSL. Si vous utilisez Pywikipediabot, vous pouvez mettre à jour à la dernière version (détails techniques : gerrit #80003, gerrit #80006) et lire ceci sur la liste de discussions pour plus d’informations.

Historique du HTTPS à la WMF[edit]

Activation initiale en 2005[edit]

Le protocole HTTPS fut initialement activé sur les projets Wikimedia par Brion Vibber en décembre 2005, bien que cela fût sur des URLs spéciales de la forme https://secure.wikimedia.org/wikipedia/fr/wiki/Accueil. C'était lent, inadapté pour une large utilisation (un seul serveur pour cette tâche) donc inutilisable par l’ensemble des personnes.

Déploiement à grande échelle en 2011[edit]

Le protocole HTTPS avec des URLs canoniques https://fr.wikipedia.org/wiki/Accueil fut activé en octobre 2011, après plusieurs mois de travail pour obtenir que ce changement soit compatible avec le cache (utilisation de liens en protocole relatif dans les pages pour éviter d’avoir deux versions de la même page dans le cache, configuration correcte des serveurs et serveurs de cache pour gérer le HTTPS) et pour être sûr que toutes les ressources soient servies avec le même protocole (HTTP/HTTPS) afin d'éviter du contenu mixte (qui retirerait l’état sécurisé de la page). Ce déploiement de HTTPS fut mentionné dans les rapports d’ingénierie Wikimedia entre mai 2011 et décembre 2011.

Août 2013 - Connexion sécurisée, navigation et édition sécurisées pour les utilisateurs connectés[edit]

Le 28 août 2013 à 20:00 UTC, comme le plan le prévoyait dans le billet Le futur du HTTPS sur les projets Wikimedia (traduction de The future of HTTPS on Wikimedia projects), la connexion sera faite en HTTPS pour la majorité des contributeurs et des projets. Les utilisateurs connectés continueront à naviguer en HTTPS par défaut.

Liens[edit]


Références[edit]