Moi, quand j’étais petite, je voulais devenir Dieu. Le Dieu des chrétiens, avec un grand D. Vers l’âge de cinq ans, j’ai compris que mon ambition était irréalisable. Alors, j’ai mis un peu d’eau dans mon vin et j’ai décidé de devenir le Christ.
Amélie , Stupeur et Tremblements
Reste à multiplier les p’tits pains, changer l’eau en vin, justement, et faire deux trois autres tours de passe-passe ni-vu ni-connu !
J’ai passé ce week-end mon admin (qui est sur un autre domaine que ceux utilisés par mes blogs) en HTTPS. Pas de problèmes particuliers à part une petite correction dans deux de mes plugins[1] qui empêchait le chargement de quelques CSS vu que les navigateurs de nos jours refusent de mixer des requêtes HTTP et HTTPS, en tout cas Chrome le fait.
Reste que la prévisualisation du billet en cours d’édition ne me rend maintenant plus qu’une page blanche, en tout cas quand j’utilise le système lightbox, pour la very même raison vu que mon blog est encore en HTTP pour l’instant. Pour contourner il suffit d’ouvrir la prévisualisation dans un autre onglet.
Côté config Apache, rien de bien particulier (sauf que j’utilise le certificat auto-signé du serveur, je sais c’est pas bien, mais j’attends de pouvoir récupérer des certificats gratuits, normalement d’ici la fin de l’année) :
<VirtualHost *:80> ServerAdmin webmaster@exemple.com ServerName admin.exemple.com Redirect Permanent / https://admin.exemple.com </VirtualHost> <VirtualHost *:443> ServerAdmin webmaster@exemple.com ServerName admin.exemple.com DocumentRoot /<…>/dotclear/admin <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /<…>/dotclear/admin> Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all </Directory> SSLEngine on SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key SSLVerifyClient None ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/secure_access.log combined ServerSignature Off </VirtualHost>
Vous aurez certainement noté que je redirige tout le trafic HTTP vers le trafic HTTPS (ligne 5). Ça sera aussi valable pour les blogs quand je les passerai en HTTPS, ça permet de changer de protocole (HTTP → HTTPS) tout en préservant la suite des URLs.
Et puis bien sûr modifier le fichier de configuration de Dotclear pour lui préciser la nouvelle URL d’admin et indiquer l’utilisation de SSL :
define('DC_ADMIN_URL','https://admin.exemple.com/'); define('DC_ADMIN_SSL',true);
Sinon je propose que le S de HTTPS soit dorénavant celui de Snowden plutôt que SSL ;-)
Tiens en parlant de lui, vous avez vu ”Citizenfour“ de Laura Poitras ? Si non, il faut, c’est un film génial !
Note
[1] Je les publierai au moment de la sortie de la 2.9 avec les autres plugins mis à jour pour cette prochaine version, j’espère dans pas trop longtemps.
1 De Cunégonde -
Ça sert à quoi de basculer en https ?
Pas vu le film, je suivrais ton conseil.
2 De biou -
pour le certificat gratuit, y’a starssl :
https://www.startssl.com/
3 De Franck -
Cunégonde, basculer en HTTPS sert à chiffrer les communications entre ton serveur et ton navigateur, comme ça tout ce que tu envoies et reçois (un billet de blog par exemple) n’est pas lisible par d’autres, entre autres la NSA, la DGSI, les extra-terrestres (bien que je sois un peu moins sûr pour ces derniers).
biou j’attends l’offre Let’s Encrypt, j’ai déjà testé startssl et je trouve leur site affreusement complexe à utiliser.
4 De Franck -
biou je viens de me créer un certificat chez eux (startssl), l’ai installé (clé + certif), modifié la config Apache pour mon admin et ai réussi à faire planter Apache (SSL Library Error, …) !
Bref, je suis repassé sur le certificat auto-signé en attendant quelque chose de fiable.
5 De Franck -
En fait non, ça fonctionne, si on déchiffre au préalable la clé privée :-p
\o/
6 De Franck -
Par contre j’ai tenté pareil avec ce blog et ça fait planter les deux, le blog et l’admin, doit y avoir un truc côté config Apache que j’ai du louper.
7 De JulienW -
Oublie pas de mettre HSTS, c’est très facile et ça peut rapporter gros:
https://fr.wikipedia.org/wiki/HTTP_…
Moi je la laisse chiffrée et je la déchiffre en fournissant le mot de passe au lancement du serveur.
8 De Franck -
JulienW je verrai ça plus tard, pour l’instant je plante Apache dès que j’active HTTPS sur ce blog. Apparemment Apache n’aime pas qu’on utilise des clés différentes pour, d’une part, l’accès à un dossier (ce blog), et, d’autre part, l’accès (via un sous-domaine d’un autre domaine) à un sous-dossier (dotclear/admin).
J’suis pas assez cador côté config Apache pour obtenir quelque chose qui fonctionne.