1. IMPORTANT : Nouvelles mesures de sécurité - 2. Règles pour obtenir de l'aide dans les forums de support - 3. Restrictions des droits pour le groupe "Support suspendu"

Il est obligatoire de respecter les Règles de MyBB.fr : Version abrégée ou Version complète pour obtenir du support sur nos forums.

Les membres ayant un site/forum contrevenant aux règles de MyBB.support seront placés dans le groupe "Support suspendu" et ne bénéficieront plus du support du staff. Nous recommandons aux autres membres d'agir de même. Il ne s'agit pas d'un bannissement, le membre retrouvera son statut "normal" dès que sa situation sera conforme aux règles.

Nouveau : un Wiki en français : plus de détails.
Avant de soumettre votre problème, consultez-le, ainsi que la FAQ, sans oublier le moteur de recherche interne.


Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[Réglé] Forcer Let's Encrypt et son domaine a pointer de http vers https .htaccess Script
Mots-clés » forcer, lets, encrypt, son, domaine, pointer, http, https, htaccess, script
23-12-2016, 0:52,
#1
Forcer Let's Encrypt et son domaine a pointer de http vers https .htaccess Script

VERSION_MyBB : 1.8.7 je vais attendre pour 1.8.8 et suivant Wink
VERSION_MyBB : 1.8.7 je vais attendre pour 1.8.8 et suivant Wink

(19-12-2016, 16:01)Pichorka a écrit :  Merci @Saphir cela me conforte dans l'idée d'attendre la version 1.8.9 et 1.8.10 (la 2.0 vu le remaniement des Dev de MyBB.com devrait arriver je le souhaite, tout en regrettant que les anciens Dev n'ai plus eu l'envie d'y participer, ceci dit la "nouvelle" équipe sont d'excellents codeurs également et je pèse mes mots ! )

J'attend la suite des remontés des bugs des versions 1.8.8 et suivantes avant de me "jeter" dans la mises à jour qui fait transpirer à chaque fois Smile

(19-12-2016, 16:35)exdiogene a écrit :  Je dois avouer que la version 1.8.9 amènera son propre lot de nouveaux soucis, car il y aura une intégration dysfonctionnelle pour l'accès aux cookies HTTPS...

Si je désire rendre ma propre version "forkée" de MyBB+ 2.05 disponible au public, je n'aurai d'autres choix que de le faire avant la version 1.8.9, car ce sera très problématique par la suite. J'avais déjà intégré la fonctionnalité concomitante pour accès HTTP et HTTPS simultanée...

Mais je manque d'effectifs pour les Beta tests...

(19-12-2016, 18:15)Pichorka a écrit :  Je te comprend si tu a besoin de beta testeurs tu me le dira si je peux être utile avec plaisir.

Sinon oui le HTTPS ... nouveauté 2017 même Google va référencer en préférence les sites et forums en HTTPS (une belle idiotie nous ne sommes pas des banque et nos cookies ne portent pas atteinte aux vies privé des membres, nous ne vendons rien, bref encore un moyen de plus de contrôler le WEB déguisé et faire du "Business" lucratif et nous pomper nos comptes en banque
C'est juste un avis et opinion qui n'engage que moi.

J'ai demander a mon hébergeur forcement, un certificat SSL, j'attend de savoir le Coût et les Coûts que cela peu engendrer et les issues possibles etc. .

Merci la CNIL and Co !

(19-12-2016, 18:32)exdiogene a écrit :  Il est toujours possible d'avoir un SSL auto-généré sans aucun coût, mais les navigateurs affichent un avis mentionnant que ce certificat n'est pas sécurisé et cela inquiète beaucoup de personnes...

Pourtant le petit cadenas sera affiché si la personne autorise la connexion et les informations seront transmises et reçues de façon sécurisée.

Sinon, une entreprise a décider d'offrir des certificats gratuits d'une durée de 90 jours auto-renouvelables, mais pour cela il faut insérer un logiciel de renouvellement fourni par cette entreprise. Je n'ai pas trop confiance d'ajouter un logiciel inconnu sur un serveur, surtout pour la confidentialité de celui-ci et de ses utilisateurs. Il y a aussi des limites imposées à ce type de certificat qui n'existent pas pour les autres certificats.

Les certificats commerciaux sont disponibles entre 20$ et 1000$ pour un an, mais pour les utiliser il faut avoir une adresse IP privée, encore une dépense entre 24$ et 240$ par an.

Je commence à considérer que Google ressemble de plus en plus à l'ancien cartel Microsoft, en nous imposant sa vision du futur et nous obligeant d'y adhérer sous peine d'action punitive...

Cela devrait motiver les utilisateurs du WWW d'utiliser un autre outil de recherche!

Merci pour l'offre de Beta-testeur, cela est apprécié.

(20-12-2016, 2:30)Pichorka a écrit :  +1 je partage ton avis Smile

Wink vous pensiez a ce genre la > https://olivier-chauvel.fr/meilleurs-moteurs-de-recherche-pour-remplacer-google/

et oui, nous sommes trop habitués a Google, qui dans ces débuts a été fondé par des 'Linuxiens' de haut vol ('adepte de linux' qui est tous les jours utilisé pour beaucoup sans le savoir), de grands codeurs au grand coeur de l'open source, rachetés pour quelques euros, par des lobies visionnaires, avides d'argent qui ont flairer le devenir dans les années qui allaient suivre.

Voila comme ça c'est dit ! ^^

Fin du pourrissage de sujet toutes mes excuses.

(20-12-2016, 13:31)Nitrome a écrit :  Le certificat https gratuit Let's Encrypt fonctionne très bien si tu veux Pichorka Wink Je n'ai jamais eu ce soucis d' "avis mentionnant que ce certificat n'est pas sécurisé "

https://vgy.me/laBZhZ.png
https://vgy.me/0TjOr7.png

(20-12-2016, 13:54)Pichorka a écrit :  Merci beaucoup @Nitrome c'est sympa je vais regarder ça de suite Smile

J'ai remarqué que la plupart des hébergeurs proposent Let's Encrypt, mais je me demande s'il ne faut pas avoir une IP Dédié ?

(20-12-2016, 14:47)exdiogene a écrit :  Il est possible au propriétaire d'un serveur dédié d'avoir plusieurs certificats pour plusieurs domaines avec une seule adresse IP, cela est démontré ici :

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Mais je doute fort que cela soit possible en hébergement mutualisé. Jusqu'à ce jour c'est toujours une adresse IP par certificat SSL, car chaque accès HTTPS se connectera au premier domaine de la liste d'apache avec certificat, même s'il y en a plusieurs.

Exemple :

MyBB.fr et MyBBCodes.com sont des domaines avec auto-certificats enregistrés mais ayant la même adresse IP, si l'on accède https://MyBBCodes.com, ce sera la page de https://MyBB.fr que nous verrons.

(21-12-2016, 18:09)Pichorka a écrit :  Merci Exdiogene,

Alors mon hébergeur a activé sur mon hébergement PHP 7.1, DirectAdmin dernière version, Let's Encrypt qui fonctionne mais qui me fait perdre mes cheveux ... et a même sur ma demande augmenté la limite de "FcgidMaxRequestsPerProcess" qui générai des erreurs.



Code PHP :
[Tue Dec 20 06:43:14.293758 2016] [fcgid:warn] [pid 11537:tid 123590475826944] (32)Broken pipe: [client 188.68.48.243:55758mod_fcgidap_pass_brigade failed in handle_request_ipc function
[
Tue Dec 20 10:06:48.770414 2016] [fcgid:warn] [pid 11537:tid 123590305974016] (104)Connection reset by peer: [client 91.160.59.185:36089mod_fcgiderror reading data from FastCGI serverreferer: ........ 

Il est donc possible sur un seul IP partagé comme tu la souligné d'activer SSL, et ce même sur un Mutualisé, je suis agréablement surpris Smile .

J'ai du commencer par re-paramétrer MyBB et corriger quelques template.



Citation :.htaccess

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteCond %{SERVER_PORT} 2222
RewriteRule ^(.*)$ https://www.mobilsam.com/$1 [R,L]
RewriteRule ^(.*)$ https://mobilsam.com/$1 [R,L]

Modifications de certains liens internes dans les template :




Code PHP :
src="{$mybb->asset_url}/ ou lieu de http://.... ou https://... et .../.../.../images 

J'ai également lu qu'il faudrait ajouter également ceci :




Citation :"Rappelez - vous: un type HTTP> HTTPS redirection est intrinsèquement précaire et fait relativement peu pour sécuriser vos utilisateurs. Vous devez également envoyer un en- tête de HSTS via HTTPS avec:




Code PHP :
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS 


Cela fera que les navigateurs se souviennent de se connecter uniquement via HTTPS _avant_ toutes les données sont envoyées.

Démarrez l'âge maximum à quelque chose de bas comme 86400 (1 jour) avant que vous avez confirmé que les choses sont prêts à 100%. Ensuite , travailler votre chemin jusqu'à la valeur de 1 an dans l'extrait. Cette étape est la suivante la plus critique."

Sujet > https://community.mybb.com/thread-205538-post-1251926.html#pid1251926

Je dois avouer que je n'ai pas régler tous les problèmes, que la ligne pour forcer le https cité au dessus semble sans effet vu que je ne sais pas ou la placer ...

J'ai besoin de vos savoirs pour faire une transition propre, si vous le voulez bien, parce que je 'sèche' un peu tout de même, bref je nage dans l'inconnu total :s

Merci par avance, avec respect !

(21-12-2016, 18:48)exdiogene a écrit :  J'avais donné mon opinion sur les "certificats gratuits d'une durée de 90 jours auto-renouvelables", de Let's Encrypt, ici:
http://mybb.fr/thread-7030-post-45359.html#pid45359

J'avoue que je préfère largement un vrai certificat SSL payant avec IP dédiée pour un coût total de 40$ par an. Cela évite tous les soucis causés par Let's Encrypt et les possibles failles de sécurité...

Un vrai certificat s'installe aisément sur toutes les plateformes.

(21-12-2016, 21:30)Pichorka a écrit :  
(21-12-2016, 18:09)Pichorka a écrit :  J'ai également lu qu'il faudrait ajouter également ceci :




Citation :"Rappelez - vous: un type HTTP> HTTPS redirection est intrinsèquement précaire et fait relativement peu pour sécuriser vos utilisateurs. Vous devez également envoyer un en- tête de HSTS via HTTPS avec:




Code PHP :
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS 


Cela fera que les navigateurs se souviennent de se connecter uniquement via HTTPS _avant_ toutes les données sont envoyées.

Démarrez l'âge maximum à quelque chose de bas comme 86400 (1 jour) avant que vous avez confirmé que les choses sont prêts à 100%. Ensuite , travailler votre chemin jusqu'à la valeur de 1 an dans l'extrait. Cette étape est la suivante la plus critique."
Sujet > https://community.mybb.com/thread-205538-post-1251926.html#pid1251926

Je dois avouer que je n'ai pas régler tous les problèmes, que la ligne pour forcer le https cité au dessus semble sans effet vu que je ne sais pas ou la placer ...

J'ai besoin de vos savoirs pour faire une transition propre, si vous le voulez bien, parce que je 'sèche' un peu tout de même, bref je nage dans l'inconnu total :s

Merci par avance, avec respect !

Merci Exdiogene je l'avais lu mais 40$ par an IP + SSL chez qui ?

Ensuite j'ai bien le https mais c'est toujours le http qui est actif je ne sais pas comment l'enlever ou obliger a aller sur le https http://www.mobilsam.com ça pointe toujours sur le http://www.mobilsam.com

Je ne sais pas comment faire pourriez vous m'"aiguiller" vers la vrai et bonne solution, je n'ai plus de cheveux en 4 heures :s ?

Merci a vous Smile

(23-12-2016, 0:34)Pichorka a écrit :  SOLUTION

Mettre ceci dans le .htaccess



Code PHP :
RewriteEngine On
RewriteCond 
%{HTTPS} !=on
RewriteRule 
https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

Ca pourra servir à d'autres Smile

Désolé par manque de temps j'ai fait quote nos échange et poster pour aider ceux qui comme moi galèrent !!!

Bien cordialement,

RESOLU
Répondre




Utilisateur(s) parcourant ce sujet : 1 visiteur(s)

Contact | MyBB.support | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS
 Utilitaire de traduction fourni par Regentronique