Connexion sécurisée à Sympa

Bonjour,
On dirait que l’accès à Sympa et Sympa2 n’est pas possible en https. En http simple, les mots de passe transitent en clair. Ce n’est pas possible d’utiliser les listes de diffusion sur Ouvaton et d’aller se coucher l’esprit tranquille.

Bonjour,

Oui, c’est toujours un chantier en attente malheureusement.

Si votre navigateur le permet, vous pouvez accéder à Sympa en HTTPS et outrepasser l’avertissement/ajouter une exception pour chiffrer la connexion malgré le certificat non valide.

Merci de cette réponse rapide.
Je me contenterais bien de forcer les choses, sauf qu’il ne s’agit pas d’un problème de certificat mais d’accès pur et simple. En http, la page se charge, mais en https rien. Voici ce que dit Firefox :
« La connexion a échoué
Firefox ne peut établir de connexion avec le serveur à l’adresse stoplinkysuryon.listes2.vox.coop. »

Bonjour,

En effet, la connexion est refusée sur le nouveau serveur Sympa (contrairement à l’ancien).

Je viens de le signaler à notre infogérant, pour au moins pouvoir chiffrer avec un mauvais certificat en attendant la mise en place de Let’s Encrypt sur les Sympa.

1 Like

Merci.
Cela ne semble pas fonctionner non plus sur l’ancien serveur Sympa. Lorsque j’essaie de me connecter en https à une liste sur le domaine ouvaton.net, après avoir accepté le certificat, je suis redirigé vers la page d’accueil https://ouvaton.coop.

Bonjour,

Notre infogérant termine la mise en place de SPF/DKIM/DMARC sur les domaines de listes, puis il va se pencher sur le travail nécessaire pour générer et déployer des certificats Let’s Encrypt sur les interfaces web de domaines de listes sur le nouveau serveur.

Déjà 14 jours… Faut-il relancer l’infogérant ?
Pour moi l’interface Sympa 2 est inutilisable tant que je ne peux pas m’y connecter en mode chiffré.

Bonjour,

Nous avons une réunion demain soir.
Nous aborderons ce point (entre autres). J’espère que ça avancera à cette occasion.

Bonjour,
Qu’en a-t-il été ? Pouvons-nous espérer utiliser les listes de diffusion sans craindre de laisser passer les mots de passe en clair ?

Bonjour,

C’est dans la liste des choses à faire, mais l’ajout de SPF/DKIM/DMARC occupe le temps de notre infogérant.

Très bien. J’attends aussi cette évolution avec impatience. Merci.

Bonjour,
Je me suis endormi depuis un an, mais je suis toujours concerné par cette histoire de certificats sur les interfaces d’administration Sympa. Je reviens donc à la charge. Tous les mots de passe des comptes d’administration de Sympa transitent en clair sur le web. Ils sont potentiellement compromis.

Bonjour, toujours rien à ce sujet ? C’est une faille de sécurité béante…

Bonjour,

Nous n’avons pas encore eu le temps de nous pencher sur ce gros problème depuis début mars.

La plateforme est en pleine évolution et l’efficacité de notre infogérant devrait nous permettre d’enfin concrétiser ce projet important qui traîne depuis longtemps.

Bonjour,

Voilà l’accès à l’interface web de Sympa possible en HTTPS, pour tous les domaines de listes existants et à venir. Une redirection automatique pour forcer une connexion chiffrée est en place.
Ça ne concerne que le « nouveau serveur », et donc toutes les listes créées ou migrées après le 20 février 2019.

Merci à l’équipe d’Octopuce qui nous permet d’enfin mettre en place cette grosse amélioration !
Nous allons maintenant travailler à la mise en place d’une procédure efficace de fermeture puis suppression des domaines de listes, puisqu’il n’est pas possible actuellement pour nos utilisateurs d’en clôturer un.

Si vous voyez en bas de la page de votre domaine de listes : « Powered by Sympa 6.0.1 », alors vous êtes encore sur l’ancien serveur, qui va être éteint dans quelques mois. Il est urgent de migrer votre domaine de listes sur le nouveau serveur dans ce cas.

1 Like

Merci Ouvaton !!!
Merci Octopuce !!!
:smiling_face_with_three_hearts:

1 Like

Je n’ai qu’une chose à dire : hourra ! Merci à Ouvaton et à Octopuce.
Il reste à prévenir toutes les coopératrices et teurs de changer leur mot de passe sur Sympa.

1 Like