Journal Reparlons de Let’s Encrypt

Posté par (page perso) . Licence CC by-sa
61
23
fév.
2016
Ce journal a été promu en dépêche : Reparlons de Let’s Encrypt.

Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur Linuxfr, moi je t'aurais surtout demandé "Comment ?". J'ai l'intention de m'y mettre aussi mais j'ai pas encore franchi le pas et j'aimerais avoir des retours d'expérience.

L’auteur du journal a répondu que Let’s Encrypt était « suffisamment simple d’utilisation pour qu’il ne soit pas nécessaire [de s’]étendre sur le sujet. »

Je disconviens respectueusement. Questions à se poser, pièges (...)

Journal Pourquoi je suis passé à Let's Encrypt

Posté par (page perso) . Licence CC by-sa
1
14
fév.
2016

La façon dont on gère les certificats à l'heure actuelle me pose problème. Le principe même de devoir recourir à une instance étrangère pour vérifier l'identité d'un serveur présente, selon moi, un risque pour l'indépendance des éditeurs. Pourtant, je suis passé sur Let's Encrypt.

Il y a quelques jours, je vous parlais des certificats, et notamment de Let's Encrypt.

Pour moi, laisser un organisme tiers décider de la validité d'un certificat revient à abandonner notre indépendance. En effet (...)

Forum Linux.général Auto-hébergement, docker et HTTPS

2
28
nov.
2015

Bonjour,
Je jette un peu une bouteille à la mer, c'est juste une idée qui me passe par la tête, j'ai pas vraiment pris le temps de chercher, j'aimerais échanger sur la question avec des connaisseurs, et d'ailleurs cette idée est peut-être complètement débile, voyons ça…

Je m'intéresse à l'auto-hébergement pour mes besoins propres. Je connais Cozy, Yuno, etc, les projets en pointe sur le sujet. Et dès qu'on aborde la question de HTTPS avec l'utilisation de son propre certificat (...)

Journal Let’s Encrypt en bêta : petit retour d’expérience

52
17
nov.
2015

Comment vas-tu yau de nal,

Je t’écris pour te donner des nouvelles de Let’s Encrypt, cette nouvelle autorité de certification sponsorisée, entre autres, par Mozilla, l’Electronic Frontier Foundation, Cisco, Akamai… qui fournit des certificats SSL gratuits. Il en a déjà été question sur DLFP, pour annoncer sa création et son premier certificat.

Le projet est actuellement au stade de bêta sur invitation. Il faut remplir un formulaire et attendre quelques jours que les (sous-)domaines demandés soient passés en (...)

Forum général.général Convertir un certificat .cer en pkcs#12

Posté par . Licence CC by-sa
1
9
nov.
2015

Bonjour,

J'ai un certificat .cer ainsi que la demande .csr à partir de quoi il a été généré (depuis le site de la pomme).
Je dois le transformer en pkcs#12 (.pfx) mais j'ai essayé toutes les méthodes trouvées sur g….le , mais en vain je n'y arrive pas.

L'un de vous l'a t'il déjà fait?

Je n'y connais pas grand chose en certificat et je galère?

Aidez moi s'il vous plait.
SOS

Certification de clés PGP et CAcert à Paris le 20 avril 2015

Posté par CAcert . Édité par Benoît Sibaud, Ontologia et Yvan Munoz. Modéré par ZeroHeure. Licence CC by-sa
9
15
avr.
2015
Sécurité

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

Forum général.général [Résolu] Problème avec un certificat sur Firefox 36

Posté par . Licence CC by-sa
1
27
fév.
2015

Bonjour,

Suite au passage de firefox en version 36, j'ai un "petit" problème sur mes sites en HTTPS.
J'explique :
* je me suis géré pour mes sites sur mon serveurs perso ma propre PKI.
* j'ai généré les certificats racine (Root et Intermédiaire)

Je peux importer mon autorité de certification dans Firefox sans souci.
Par contre, quand je charge mon site, il m'indique l'erreur Une erreur est survenue pendant une connexion à xxxxxxxxxx. Bibliothèque de sécurité : message encodé (...)

Les journaux LinuxFr.org les mieux notés de novembre 2014

Posté par (page perso) . Édité par Thomas DEBESSE et Florent Zara. Modéré par Nÿco. Licence CC by-sa
7
1
déc.
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de novembre passé.

Sondage Comme autorité de certification pour linuxfr.org je préfèrerais...

Posté par (page perso) . Licence CC by-sa
22
5
nov.
2014

Après la grande discussion sur le certificat CACert de LinuxFR ayant eu lieu dans la dépêche Firefox 32, après l'entrée de suivi à ce sujet, pourquoi ne pas faire un sondage auprès des utilisateurs du site ?

  • Rester avec CACert en dépit des critiques :
    277
    (12.6 %)
  • Opter pour Gandi (donc Comodo) comme l'April et l'AFUL :
    488
    (22.2 %)
  • Un certificat auto-signé car je vous fais confiance :
    277
    (12.6 %)
  • Un certificat GlobalSign gratuit (ceux réservés aux projets libres) :
    257
    (11.7 %)
  • Un certificat Verisign car avec eux c'est du sérieux, ils ont des cravates ! :
    61
    (2.8 %)
  • Yaka supprimer le HTTPS ! :
    151
    (6.9 %)
  • De toute façon c'est foutu, la NSA a des ordinateurs quantiques. :
    689
    (31.3 %)

Total : 2200 votes

Forum Astuces.divers Scripter la génération de certificat

Posté par . Licence CC by-sa
9
7
oct.
2014

Cher journal,

Internet ne m'a pas beaucoup aidé à trouver une réponse simple et complète à cette question, alors permets moi de te détailler la solution.

La mise en place d'une AC auto-signée est relativement aisée. Il existe plein de tutoriaux sur internet, celui-ci étant par exemple très clair et didactique.

En lisant le man, tu noteras qu'il faut mettre l'AC dans /usr/local/share/ca-certificates et non dans /usr/share/ca-certificates sur les systèmes à base Debian afin qu'elle soit ajouté automatiquement via le (...)

Forum Linux.général LDAP over TLS - unsupported extended operation

Posté par (page perso) . Licence CC by-sa
0
10
sept.
2014

Bonjour,

J'ai suivi la création du certificat depuis la page d'openldap (ici: http://www.openldap.org/faq/data/cache/185.html )
J'ai aussi générer un certificat cacert et j'obtient le même résultat.

Lorsque je fais un

root@DB:/etc/ldap# ldapsearch -ZZ
    ldap_start_tls: Protocol error (2)
            additional info: unsupported extended operation

alors qu'un :

root@DB:~# ldapsearch
    SASL/EXTERNAL authentication started
    SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
    SASL SSF: 0
    # extended LDIF
    #
    # LDAPv3
    # base <> (default) with scope subtree
(...)

Forum Linux.debian/ubuntu rsync ssh authentification par certificat

Posté par (page perso) . Licence CC by-sa
1
11
fév.
2014

Bonjour,

Je cherche à mettre en place une authentification par certificat pour des sauvegarde avec rsync. Donc cela fonctionne très bien avec la commande ssh

ssh myuser@remote

J'ai utilisé le fichier ~/.ssh/config :

Host remote
Port 22
User myuser
IdentityFile /home/myuser/.ssh/id_rsa
Hostname remote.domain.fr

Mais si j'utilise avec rsync, j'ai une demande de mot de passe

/usr/bin/rsync -e 'ssh -i /home/myuser/.ssh/id_rsa' -azv /local/backup/ myuser@remote:/mnt/backup/
myuser@remote.domain.fr's password:

Sur le serveur distant j'ai cela dans /var/log/auth.log

Feb 11 15:55:42 remote sshd[12453]: Invalid (...)

Forum Linux.général CACert.org et certificat pour plusieurs sous-domaines (futurs)

Posté par (page perso) . Licence CC by-sa
2
10
août
2013

Bonjour à tous,

Je souhaiterais générer un certificat ssl pour l'ensemble de mes sous-domaines, actuel et surtout futur.

J'ai lu qu'il était déconseillé de générer un certificat (cacert.org) pour le CN *.domain.tld

Ma question est donc, comment dois-je m'y prendre pour permettre de certifier tous mes (prochains) sous-domaine ?