« C'est bien joli tout ça, mais quand est-ce que vous activez HTTPS sur Next INpact ? » Nous pouvons désormais répondre à cette question : c'est pour bientôt. Une phase de bêta va en effet débuter, mais cette fonctionnalité sera pour le moment réservée à nos membres Premium. On vous explique pourquoi.
Depuis le lancement de la v6 du site, nous avons décidé de renforcer l'accès à nos services en HTTPS. C'est une fonctionnalité qui nous intéressait de longue date, mais qui répondait à différentes problématiques. La principale, comme nous avons déjà eu l'occasion de le mentionner, est celui des régies publicitaires.
HTTPS : une généralisation freinée par le marché publicitaire
En effet, toutes ne délivrent pas les campagnes de leurs clients de la sorte, empêchant de fait les sites de sauter le pas. L'année dernière, nous avons donc pris une première décision : exporter entièrement notre module de gestion du compte et le passer en HTTPS. Depuis, il est accessible via l'adresse https://compte.nextinpact.com.
Cette année, nous allons passer une nouvelle étape en activant l'accès HTTPS sur tout le site. Cela a demandé une migration progressive de notre gestion d'images et de plusieurs modules, mais ce travail est désormais terminé. Dans les prochains jours, un lien HTTP renverra donc directement vers la version HTTPS.
Une fonctionnalité réservée aux membres Premium dans un premier temps
La contrainte publicitaire reste par contre effective, c'est pourquoi cette fonctionnalité sera uniquement activable par nos membres Premium. Nous avons bien conscience qu'une activation générale serait préférable, mais le modèle économique du site repose encore en bonne partie sur la publicité, et nous n'avons donc pas la possibilité de faire autrement. Néanmoins, nous travaillons activement à une solution, de manière à étendre l'accès HTTPS à l'ensemble de nos utilisateurs dès que cela sera possible.
Le premier concerné sera le site, avant notre version mobile. Le cas du forum est en cours d'étude. Le tout sera mis en place sous la forme d'une bêta d'ici peu, le temps de nous assurer que tout fonctionne correctement. Bien entendu, nous vous tiendrons informé des différentes étapes.
Merci encore à tous pour votre soutien !
Commentaires (115)
#1
Ah ! Ca fait plaisir !
Une nouvelle favorable (de plus) pour passer Premium !
#2
" />
#3
" /> Merci l’équipe !
#4
" />
#5
Merci ! c’est mieux !
#6
Bonne nouvelle :)
Par contre le certificat n’est pas accepté par mon firefox beta 42. La route est longue pour migrer vers HTTPS ;)
#7
Merci " />
Les admins réseaux galèreront un peu plus pour suivre les conneries que je raconte quotidiennement " />
#8
Et IPv6, c’est pour quand " />
#9
" />
Par contre l’image d’illustration… " />
#10
Avant Orange " />
" />
#11
" /> par contre çà marchait le https sur la V5, qu’est ce qui était différent?
#12
Je ne savais pas que les régies posaient problème. C’est vraiment la lie d’internet. J’espère qu’une tête pensante trouvera un nouveau modèle économique miracle pour se débarrasser de la pub d’ici quelques années…
#13
#14
Bien ! On lésine pas sur les ciphers siouplé hein. J’ai désactivé toutes les cochonneries de CBC, RC4 & co sur mon proxy " />
Ps: Rien que mentionner SSL dans l’article, brrrrrrrrrr
#15
#16
#17
Qu’est ce que ca change concrètement par rapport au http normal ? On va avoir un logo qui dit que le site est signé mais ca apporte quelque sécurité de plus pour les utilisateurs?
#18
#19
bah …la nsa lie nativement le https …..donc bon.
Allez continuer ainsi ;)
#20
#21
Nous pouvons désormais répondre à cette question : c’est pour bientôt™
#22
Donc ca y est, vous avez pas fait les radins et acheté enfin un certificat ssl ?
Ce qui est drôle c’est quand google commence a dire que ca punit les sites web qui n’ont pas de https alors la, tout le monde commence a sécuriser ses domaines " />
#23
Et si en prémium on garde les publicités pour vous.
C’est possible de rester en http ?
Je sais je suis un me maso " />
#24
#25
#26
Elle était facile, celle là, mais bon, +1
Sinon, effectivement, l’image “SSL secure” , ça peut faire sourire vu que les recommandations vont dans le sens de virer toute forme de SSL et de ne rien laisser d’inférieur à TLS 1.1…
#27
Certificat X.509 et non SSL " />
(oui je sais, tout le monde se trompe volontairement ou pas)
" />
#28
Et du DPI aussi " />
#29
#30
Les recommandations ne “vont plus dans le sens” " />
SSLv3 est officiellement déprécié par l’IETF depuis juin. Il ne doit plus être utilisé sur Internet. Et oui, il faudrait forcer TLS 1.2, mais là c’est plus dur " />
D’ailleurs les dévs de LibreSSL l’ont récemment viré. Du coup, faudrait qu’ils se renomment LibreTLS " />
#31
#32
Par curiosité, quelle loi impose de mettre l’interception ssl en place?
#33
Question vraiment bête mais … Pourquoi faire ? (vraie curiosité …)
#34
" />.
En en plus parfaitement expliqué comme toujours … Respect.
#35
bonne nouvelle! merci " />
#36
Je plussoie
Y’aura moyen de rester en http ?
Ma boite fait aussi de l’interception et tout https ca va rendre de mon coté le site illisible.
#37
Ouais et encore Firefox il faut lui mettre le certificat de la boîte directement à la main dedans (en tout cas nous on a pas trouvé comment faire sans) car il a son propre dépôt de certificat alors qu’avec Chrome/IE/Edge ça passe tout seul.
#38
Tu connais l’explication technique? En théorie, in MITM bien fait devrait être transparent autant pour le client que le serveur.
#39
On avait fait des tests à l’époque mais ça posait quelques soucis et notamment ça bloquait toute la pub, d’où la nouvelle stratégie en attendant de pouvoir faire autrement " />
#40
Le souci c’est surtout : quand est-ce que les intermédiaires vont tous passer à du HTTPS…
#41
+1 c’est transparent chez nous.
#42
Comme dit dans la news, on a déjà un certificat pour la partie compte notamment. Je ne vois pas trop le rapport à Google puisque les Google Bots ne seront pas spécialement des membres Premium ;) Après on a une demande croissante sur le sujet de la part des lecteurs depuis quelques temps, on y répond " />
#43
nslookup -query=AAAA www.nextinpact.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:www.nextinpact.com
canonical name = nextinpact.com.
nextinpact.com has AAAA address 2400:cb00:2048:1::a29f:f941
nextinpact.com has AAAA address 2400:cb00:2048:1::a29f:fa41
;)
#44
/hs Cette actu n’apparaissait pas en incognito, merci à mon flux RSS.
#45
Ce sera une option, donc à activer, ou pas ;)
#46
Et du coup, pour les abonnés classiques, qui ne voient pas la pub non plus (ni les traqueurs, en décochant la case adéquate) ? Pourtant, ils n’ont pas l’air d’y avoir droit (je viens de tester).
#47
Il faut lire l’actu avant de commenter ;)
#48
Très bonne nouvelle, merci pour le travail accompli !
#49
+1
#50
" />
http://www.hoaxbuster.com/hoaxliste/legende-urbaine-lecture-actualites-commentai…
" />
#51
#52
Probablement quand les sites arrêteront de passer par eux quand d’autres concurrents avec HTTPs feront leur apparition :)
#53
C’est plus compliqué que ça, mais c’est un mouvement qui est initié oui (surtout depuis que Google a basculé tous ses éléments en HTTPS " />)
#54
ohohohoho encore une fonctionnalité premium, nice ! " />
(sinon je sais pas ce que ca va changer maispagrave) " />
#55
#56
#57
Ils bougeront quand ils comprendront pourquoi leur traffic diminue, à cause du mixed content.
#58
" />
#59
C’est ce que j’allais dire, pas besoin de faire des attaques MITM SSL sur le trafic de ses employés en échangeant les certifs SSL pour savoir quels sites ils visitent… Quand on fait du MITM SSL c’est qu’on veut clairement déchiffrer le contenu des requêtes et pas seulement savoir où elles vont…
Les attaques MITN SSL sur les proxies d’entreprises sont des pratiques de sécurité détestables, en plus d’entrainer des violations de la corresponsance très facilements.
#60
#61
hey va falloir que je renouvelle mon abo moi, je viens de voir qu’il se termine le 6…
#62
#63
#64
Ouai, ouai ouai… vous faites ce que vous voulez tant que ça fonctionne avec TOR. Ce qui n’est pas le cas pour l’instant et ce, depuis plusieurs mois. Impossible de se connecter.
#65
Oui si tu regardes bien dans ton navigateur quand tu vas sur du https c’est le certificat de la boîte mais ça ne pose pas de soucis.
#66
#67
Quand laisser passer TOR nous permettra de ne pas subir de DDOS, on y pensera ;)
#68
#69
#70
Pourquoi le https empêche les pubs et pas le http normal ?
Désolé mais pas le temps de lire tous les commentaires, au cas ou il y ai déjà une réponse.
#71
Parce que les régies de pubs ne sont généralement pas en HTTPS, à contrario du HTTP. C’est expliqué dans le new ;-).
#72
#73
#74
#75
J’ai peut être raté quelque chose, mais qu’est ce qui empêche le navigateur de charger un contenu externe HTTP si la page elle même est en HTTPS. Ce sont deux requêtes et connexion TCP qui n’ont rien à voir.
EDIT : En fait, je viens de voir ça sur le MDN :
If your website delivers HTTPS pages, all active mixed content delivered via HTTP on this pages will be blocked by default
Je ne savais pas que les navigateurs (en l’occurrence Firefox) bloquait ce genre de contenu. L’époque d’IE6 qui signalait juste qu’il y avait “du contenu non sécurisé dans cette page” remonte à longtemps " />
#76
En fait c’est parce que Firefox n’utilise pas le magasin de certificat de Windows mais seulement le sien. Du coup pour que Firefox reconnaisse le certificat de l’entreprise il faut lui ajouter manuellement le certificat public du pare-feu.
D’ailleurs celà fait parti des frein de firefox en entreprise… pas d’utilitaire de gestion centralisé.
EDIT/ BBQ " />
#77
#78
Est-ce que ce sera un certificat let’s encrypt ? ici
#79
Tu as eu réponse à ta question ^^. D’ailleurs on peut le voir avec la console développeur (F12 > console), il indique Mixed-content de mémoire. On peut d’ailleurs voir là, que le certificat utilisé a été signé avec l’algorithme de hashage SHA-1, il indique donc une erreur et on voit aussi une multitude d’avertissements concernant des propriétés CSS " />
#80
Ça m’étonnerai fortement, étant donné que NextINpact indique que ce sera bientôt et que le certificat racine de let’s encrypt n’est pas encore intégré dans la base des navigateurs, même s’ils en ont fait la demande récemment (cf. Blog de let’s encrypt).
#81
Cette année, nous allons passer une nouvelle étape en activant l’accès HTTPS sur tout le site.
Ah… cool. Chiffrer l’envoi de commentaires publiques, c’est indispensable. " />
HTTPS, ou le mythe du cadenas.
#82
Qu’en est-il avec le script décrit sur ce sitehttp://blog.hellnino.com/?p=461 ? Visiblement c’est possible de l’éxecuter via GPO.
#83
Il faut déployer certutil sur les postes avant (nss) donc c’est pas top quand même " />
A moins qu’on puisse appeler depuis un partage réseau…
#84
L’échange de certificat à la volée (qui est de l’usurpation d’identité selon moi) avec une autorité de certif ajoutée localement ne fonctionne pas si le réglage du certificate pinning est réglé sur strict dans le navigateur. " />
#85
Putin encore un essai du Canada. Du coup je sais plus ce que je voulais dire…
#86
#87
#88
Et pour les utilisateurs non premium qui ne voient pas la pub ? " />
#89
Petite demande au passage : peut-on avoir une url personnalisée de connexion automatique à son compte premium ?
Car mon firefox vire automatiquement les cookies à chaque fermeture et taper le mot de passe à chaque fois… même si c’est juste une fois par jour le matin…
merci d’avance !
#90
#91
C’est déjà le cas, mais cela n’a aucun impact sur l’expérience utilisateur, tout comme l’HTTPS…
2400:cb00:2048:1::a29f:f941
#92
Ce que tu demandes s’appelle une faille de sécurité.
Donne moi ta clé de maison et ton code CB, tu n’en as pas besoin.
Un mot de passe long et simple à se rappeler est la meilleure des armes.
Et surtout unique.
#93
Alors… contrairement à ce que tu affirme, j’ai lu la news. Et ça ne me parait pas clair du tout. Parce que Premium != abonné (oui, c’est pénible le double tarif hein ? Faut expliquer les différence à tout le monde). Or les abonnés non plus n’ont pas de pub. Du coup, je demande des précisions…
#94
Mais certutil lui peut être déployé via GPO, non ? ^^
#95
Mais certutil, lui, peut être déployé via GPO, non ? ^^
#96
http://www.nextinpact.com/news/95865-refonte-nos-offres-dabonnement-ce-qui-vous-attend.htm
;)
#97
Super ! merci je n’y avais pas pensé !
#98
#99
Suffit de chercher un peu sur le net …
même Nxi en a parlé …c’était le feuilleton de l’été ,l’aurais tu raté " />
cadeau ">
#100
#101
J’ai pas tout lu, donc ma question est peut-être déjà posée :
En lisant, je comprends que le passage en HTTPS sera automatique, est-ce que ça sera bel et bien le cas ?
Au boulot, je n’arrive pas encore à comprendre quelle est la configuration exacte, mais les proxy semblent bloquer tout les sites HTTPS qui n’ont pas été explicitement validés, du coup possible que je n’ai plus accès si c’est du HTTPS :(
#102
#103
Pense bien à décocher « cookies » dans « Vider l’Historique lors de la fermeture de Firefox » sinon t’aura le même souci " />
#104
#105
Pour infos, un tunnel ssh sur le port 443 ca se détecte très facilement par rapport à un vrai site https.
Je sais j’ai fais mon stage de fin d’étude dans le service sécurité d’un grande boite francaise et ils envoyent des avertissement pour contournement de la politique de sécutité du SI. Après toutes les boites ne le font pas non plus.
#106
#107
Ok, j’attirai juste l’attention sur le fait qu’il y a des risques car c’est souvent écrit/interdit dans la charte du SI.
Perso, je préfèrerai consulter mes sites sur mon smartphone ou faire du tethering.
#108
Est ce qu’on peut m’expliquer les enjeux ? Je comprends pas trop en quoi c’est une bonne (ou mauvaise) nouvelle ?
#109
Ça existe une entreprise qui surveille d’aussi près l’usage de sa connexion internet, mais qui t’autorise à faire du tethering en direct?
#110
" />
" />
#111
#112
#113
Certaines personnes ont des PC portable hors réseau, d’autres avec VPN facultatif.
Et c’est si surveillé que ça car si quelqu’un fait des bétises sur internet, a ton avis, le SWAT il va venir toquer chez qui ?
#114