Forum

Need some help? Ask our community for its assistance!

You are not logged in.

#1 11-08-2010 12:28:25

mylab
Membre
Registered: 10-07-2009
Posts: 290

HTTPS pour les sous-domaines alwaysdata.net

Bonjour,

Voici ma petite suggestion du jour: pouvoir utiliser https pour notre sous-domaine en .alwaysdata.net

En particulier, j'utilise https pour accéder de maniere sécurisée à mon interface d'admin (donc uniquement utilisée par moi). C'est rassurant lorsqu'on utilise un wifi pas sécurisé!

M.

Offline

#2 11-08-2010 12:33:37

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

Bonjour,

Je me suis souvent demandé si quelqu'un avait un intérêt pour du HTTPS sur un sous-domaine alwaysdata.net (qui, généralement, n'est pas voué à être diffusé).

À supposer qu'on achète un certificat pour *.alwaysdata.net, il vous faudra encore prendre une IP privée pour votre .alwaysdata.net, ce qu'on facturera 5 € par mois (vive la pénurie d'IPv4). Vous seriez partant ?

La seule alternative c'est le SNI, qui permet de se passer d'IP privée, mais c'est un protocole non compatible avec un certain nombre de navigateurs, dont IE sous XP et Chrome sous XP. C'est donc non viable pour la majorité des sites.

Offline

#3 11-08-2010 12:41:02

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

IP privée à 5€/mois, pourquoi pas (c'est un poil cher), mais alors pas que pour ça... (ce serait d'ailleurs plutot pour un tout: smtp dédié à cette IP, hebergement idem, etc...)

Par contre, je suis surpris qu'il faille une IP privée pour un certificat *.alwaysdata.net: c'est "juste" un certificat avec joker (qui est "juste" plus cher...)

Quand à la solution "bricolée" (SNI, que je connais pas), j'ai envie de dire que c'est mieux que rien (situation actuelle)... faut voir en situation relle!

M.

Offline

#4 11-08-2010 12:44:05

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

Le SNI est la solution d'avenir, mais elle serait relativement compliquée à implémenter aujourd'hui, Python ne la supportant pas. Il faudrait qu'on s'attèle à un patch, et pour le moment l'intérêt n'est pas flagrant.

Effectivement, le certificat serait du wildcard, ça on peut s'en occuper. Mais il faut bien une IP privée pour chaque hôte (donc sous-domaine) différent.

Offline

#5 11-08-2010 12:54:34

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Cyril wrote:

Le SNI est la solution d'avenir, mais elle serait relativement compliquée à implémenter aujourd'hui, Python ne la supportant pas. Il faudrait qu'on s'attèle à un patch, et pour le moment l'intérêt n'est pas flagrant.

Effectivement, le certificat serait du wildcard, ça on peut s'en occuper. Mais il faut bien une IP privée pour chaque hôte (donc sous-domaine) différent.

J'allais donner un exemple d'un concurrent avec la meme adresse IP, mais en fait non: l'accès SSH se fait via une url du type
https://hosting.alwaysdata.net/~compte/

(et moi, ça me suffit)

J'ai oublié de préciser: pour une IP fixe payante, si je suis prêt à payer, ce n'est pas pour l'avoir sous compte.alwaysdata.net, mais bien pour pouvoir l'associer à XX sites/domaines différents de mon hébergement, bien sûr ;-)

Merci pour vos réponses!

M.

Last edited by mylab (11-08-2010 12:54:53)

Offline

#6 11-08-2010 12:56:32

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

Avec une IP privée, vous pourriez l'associer à tous vos sites, mais un seul peut bénéficier du SSL (on retombe toujours sur le même problème). Et il ne serait pas possible de l'utiliser pour du SMTP ou SSH, du moins pas pour le moment. Toujours intéressé ? smile

Offline

#7 11-08-2010 13:05:14

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Cyril wrote:

Avec une IP privée, vous pourriez l'associer à tous vos sites, mais un seul peut bénéficier du SSL (on retombe toujours sur le même problème). Et il ne serait pas possible de l'utiliser pour du SMTP ou SSH, du moins pas pour le moment. Toujours intéressé ? smile

Non, car surdimensionné par rapport à mon besoin du jour: accéder à une console d'admin en SSL. Pour ça, accéder à mon /www/ via un sous-domaine commun à tous les utilisateurs, sous la forme /~mylab me suffit largement.

Pour le sujet IP privée, je suis le sujet de loin, mais aujourd'hui je n'ai pas de besoin impératif (j'utilise un service de SMTP externe aux hebergeurs avec IP privée pour pas bien plus cher que 5EUR/mois ;-) )

Cela pourrait m'interesser pour:
+ utiliser les services mails AD sur une IP privée (= gérer ma réputation, m'inscrire aux programmes de loopback FAI)
+ heberger certains sites sur une IP, d'autres sur une autre (pour le referencement naturel, notamment)
+ acheter/associer des certificats SSL pour certains sites/URL
+ et pourquoi pas... proposer ces deux dernieres options aux clients de mes services

(noter le '+', c'est pas un hasard) :-)

M.

Offline

#8 11-08-2010 13:11:15

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

+ utiliser les services mails AD sur une IP privée (= gérer ma réputation, m'inscrire aux programmes de loopback FAI)

Déjà, dans un premier temps, nous allons nous-même segmenter nos envois SMTP probablement en deux, avec deux IP distinctes : l'une qui serait utilisée par les packs gratuits ou les mails pas impeccables (dont le score SpamAssassin est supérieur à 0), et l'autre qui serait utilisée pour le reste (donc clients payants ET score inférieur à 0). Du coup, cette seconde IP devrait avoir une réputation vraiment très bonne.

Ensuite, on offrira effectivement la possibilité d'avoir sa propre IP pour le serveur SMTP, pour gérer sa propre réputation.

+ heberger certains sites sur une IP, d'autres sur une autre (pour le referencement naturel, notamment)
+ acheter/associer des certificats SSL pour certains sites/URL

Déjà possible, donc (dès qu'on rajoute ce qu'il faut dans notre admin pour gérer ça, mais c'est déjà en production sur la partie technique).

Offline

#9 11-08-2010 13:14:15

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Cyril wrote:

+ utiliser les services mails AD sur une IP privée (= gérer ma réputation, m'inscrire aux programmes de loopback FAI)

Déjà, dans un premier temps, nous allons nous-même segmenter nos envois SMTP probablement en deux, avec deux IP distinctes : l'une qui serait utilisée par les packs gratuits ou les mails pas impeccables (dont le score SpamAssassin est supérieur à 0), et l'autre qui serait utilisée pour le reste (donc clients payants ET score inférieur à 0). Du coup, cette seconde IP devrait avoir une réputation vraiment très bonne.

C'est une bonne chose!

Note1: lors de la mise en service de la nouvelle adresse IP, attention à pas basculer d'un coup, sinon, nouvelle ip + volume = blacklist!
Note2: vous arrivez à avoir un score spamassassin sous 0? Quand je suis sous 5, je suis satisfait...

Offline

#10 11-08-2010 13:16:35

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

La grosse majorité des mails qui partent de manière légitime ont un score inférieur à 0 oui. Comment vous faites pour avoir un score de 5 ? Quelles règles qui vous rapportent des points ?

Offline

#11 11-08-2010 13:42:49

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Je n'ai pas d'exemple sous la main, faudrait que je creuse... mais typiquement des images, des images externes (cas d'une newsletter) de tracking d'ouverture (indispensable pour du CRM), des url de tracking (idem), etc... qui au final aboutissent à un score de 2-3.

Offline

#12 11-08-2010 13:50:30

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

Ah d'accord, moi je ne parlais pas de newsletters, mais de mails normaux, la correspondance quotidienne quoi. Nombre de nos clients utilisent nos SMTP pour leur gestion de mails internes, et il est capital pour eux que les mails arrivent bien. Notre but est avant tout de protéger ces mails-là.

Les newsletters, les mails automatiques, c'est nettement plus risqué, et ça réduit parfois la réputation. Peut-être qu'il faudrait 3 segments alors : les mails nickels du quotidien par les clients payants, les mails un peu plus douteux (newsletters) des clients payants, et enfin les comptes gratuits.

Je vais essayer de mettre ça en place en même temps que les IP privées pour le SMTP.

Offline

#13 11-08-2010 14:14:53

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Cyril wrote:

Les newsletters, les mails automatiques, c'est nettement plus risqué, et ça réduit parfois la réputation. Peut-être qu'il faudrait 3 segments alors : les mails nickels du quotidien par les clients payants, les mails un peu plus douteux (newsletters) des clients payants, et enfin les comptes gratuits.

En effet, c'est alors intéressant de segmenter les correspondances des mails automatiques, même s'ils sont légitimes. Dans ce cas, 2 suggestions:
1. serveur smtp pour les mails légitimes: le risque est d'avoir des clients utiliser leur client mail pour faire du mailing de masse à la main (BCC). Une parade est de limiter le volume d'envoi par temps/compte. Certains hébergeurs, par exemple, ajoutent un sleep de 1s par destinataire au-delà de 20 (cas du BCC/reply-to), d'autres repoussent l'envoi du mail si plus de 100 destinataires ont été touchés dans les 60min... en l'occurrence, cela pourrait être de les basculer sur l'IP moins "pure".
2. J'aimais bien le critère du score spamassasin; ca donnerait:
client payant via smtp, + score < 0: IP1
client payant via smtp ou mail(), + score <5 : IP2
tous les autres cas: IP3 (actuelle)
Ainsi, les "mauvais" clients ne viendront pas polluer les "bons" clients...

M.

Offline

#14 13-08-2010 12:13:22

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,671
Website

Re: HTTPS pour les sous-domaines alwaysdata.net

J'ai dit une bêtise avant-hier : on pourrait parfaitement avoir du HTTPS sur tous les sous-domaines alwaysdata.net avec une seule IP. On va sérieusement réfléchir à mettre ça en place.

Offline

#15 13-08-2010 12:48:03

mylab
Membre
Registered: 10-07-2009
Posts: 290

Re: HTTPS pour les sous-domaines alwaysdata.net

Cyril wrote:

J'ai dit une bêtise avant-hier : on pourrait parfaitement avoir du HTTPS sur tous les sous-domaines alwaysdata.net avec une seule IP. On va sérieusement réfléchir à mettre ça en place.

C'est plus proche de mes croyances... Mais je ne suis pas expert en la matière ;-)

PS: en l'occurrence, pour mon besoin d'avant-hier, j'ai utilisé un mailplan inutilisé chez un ancien hébergeur ;-)

Offline

Board footer

Powered by FluxBB