Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment tout savoir sur une connexion HTTPS ?

Si vous voulez savoir exactement de quoi il en retourne concernant la connexion SSL / TLS des sites que vous visitez, il existe une extension Firefox baptisée SSleuth qui vous permet d’obtenir une note sur 10, de la qualité de la connexion HTTPS.

Capture d'écran 2015-10-29 09.36.38

Vous saurez par qui c’est signé, la version de TLS utilisée, le cipher en place, si la connexion respecte le PFS (Perfect Forward Secrecy) et quels sont les appels HTTP encore présents sur la page.

En ce qui me concerne, tout est prêt de mon côté pour le passage en full HTTPS, mais si ça mixe encore avec un peu de HTTP, c’est à cause de certains de mes prestataires (notamment publicitaires) qui fonctionnent encore en HTTP. Je les ai prévenus, ils bossent dessus pour passer tout ça en HTTPS.

Capture d'écran 2015-10-29 09.52.49

Les sources de SSleuth sont disponibles ici.

Merci à Sabjul pour le partage !!



Réponses notables

  1. obi says:

    Pas vraiment convaincu quand on voit une note de 9,0 sur des sites qui n’ont pas encore désactivé le SSLv3 ou des notes de 7,6 alors que le RC4 et SSLv3 activé et pas de TLS.

    La note la plus basse que je chope est un 5.3 (donc la moyenne) alors que tout les testeur en ligne donne un “F” ou des gros warning de sécurité !

    Je pense que les notes devraient être révisée à la baisse !

  2. Lorith says:

    Un petite astuce pour se générer un certificat gratuit et valide, ce tuto est pour nginx mais on intègre le certificat là où on veut, personnellement je m’en sers pour mon NAS synology, ça m’évite les avertissements : http://mondedie.fr/viewtopic.php?id=5895

  3. ceb says:

    Du nouveau sur les certificat root des authorités de certifications. Soit disant qu’on piraterait SSL à la NSA à tour de bras?

    Le HTTPS c’est bien mais ca noit bien le poisson (le cadenat et c’est ok)…
    Ca serai cool si un jour on pouvait zapper l’echange de cle publique (en principe c’est hyper secure) mais que ce passe t-il si la cle privé du site a fuité? Generer une cle publique prend du temps serveur, et je ne sais pas si elle est renouvellé pour chaque utilisateur (pour l’etape critique de l’echange de cle symetrique).

    SSL c’est top mais faut faire attention a mon avis

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants