Re: apache et ssl

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: Guilde Linux
Sujet: Re: apache et ssl
> bonjour a tous,
>
> j'ai mis un webmail sur mon serveur a la maison.
> Comme je ne voulais pas diffuser en clair mon password, j'ai active le
> ssl pour faire du https. Seulement voila, si je tapes webmail.toto.com
> je ne vais pas sur le virtualhost attendu, il me faut preciser
> https://webmail.toto.com. Comment faire la redirection automatiquement ?


    Ce n'est pas un problème de redirection. C'est le comportement normal 
de ton navigateur. Si tu ne lui mets pas de "https://" devant l'URL, il 
va considérer que tu veux faire du HTTP et non du HTTPS, d'où la 
connexion sur "http://webmail.toto.com".


    Par contre, tu peux configurer ton serveur HTTP pour que toute 
connexion arrivant sur "http://webmail.toto.com" soit renvoyée sur 
"https://webmail.toto.com/[l'url du service]". Créé une page 
"index.html" que tu places à la racine de "webmail.toto.com", et qui 
contient :


<html>
<head>
<meta http-equiv="refresh" content="0;
url=https://webmail.toto.com/[l'url de ton service web]">
</head>
<html>


> Lors de mon premier essai, konqueror m'a dit que mes certificats
> n'etaient pas valide, kezako ?


    C'est un système qui est à la base du HTTPS, et qui permet au "client" 
(ton konqueror donc) d'être sûr que le site sur lequel il va est bien 
celui qui est supposé être.


    Pour avoir un certificat valide, il faut que tu contactes une société 
qui fait ce type d'authentifications, comme la tristement célèbre 
"Verisign" dont on a pas mal parlé durant l'été, et que tu payes pour ce 
type de service. Il faut aussi que ton serveur soit sur une IP fixe... 
Bref, cela n'a aucun intérêt pour un particulier.


    Sans certificat, tu dois donc faire confiance au site web, en supposant 
que c'est bien celui celui que tu penses. Par exemple, quelqu'un (moi) 
pourrait créer un site web qui ressemble trait pour trait à ton webmail, 
et je pourrais me débrouiller pour te voler ton adresse IP ou ton nom de 
domaine dynamique. Dès lors, en te connectant sur ce que tu penses être 
ton webmail, tu rentreras en fait ton login/password sur ma machine. 
Information que je pourrais alors utiliser contre la tienne, soit pour 
lire tes mails, soit pour y entrer (si tu as mis en plus un serveur SSH).


> En plus, j'ai oublie la regle nat pour le port 443 de mon firewall pour
> faire un test de l'exterieur...


    Regardes mon site web : 
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html#III-8-2


    Notes que si t veux aussi bénéficier de la redirection HTTP -> HTTPS, 
il te faudra aussi faire suivre le port 80...


                    Olivier