Journal Le premier certificat SSL de Let's Encrypt

Posté par  . Licence CC By‑SA.
Étiquettes :
36
15
sept.
2015

Pour rappel, Let's Encrypt permettra d'automatiser la création (et la maintenance) de certificats SSL. Le tout gratuitement et de manière ouverte.

Le premier certificat SSL de Let's Encrypt est en ligne :
Our First Certificate Is Now Live

Comme indiqué dans le lien, la propagation dans les principaux navigateurs est en cours. Donc pour le moment, il faut l'ajouter à la main.

Il y eu un petit dérapage du planning, mais rien de bien méchant :

  • Premier certificat : 27/07/2015 (…)

Journal HTTP poussé vers la sortie ?

Posté par  . Licence CC By‑SA.
Étiquettes :
54
3
mai
2015

Accompagnée d'organisations telles que l'IETF ou le W3C, la fondation Mozilla a annoncée son intention de mettre fin au support du protocole HTTP dans sa forme non sécurisée et souhaite encourager la mise en place de TLS pour la plupart des sites Web. L'équipe de Chromium elle aussi y pense fortement.

En effet l'ambiance du moment est de retirer les protocoles en texte clair de l'usage d'Internet afin d'assurer une meilleure protection de la vie privée. Notons aussi (…)

Journal Public Key Pinning Extension for HTTP

Posté par  . Licence CC By‑SA.
Étiquettes :
27
18
avr.
2015

Cher journal,

En ces temps ou un certain nombre d'entre vous n'ont pas l'air d'avoir envie de tout partager avec leur gouvernement. Voici une annonce qui améliore un peu la sécurité du HTTPS. Tu n'es pas sans ignorer que le modèle actuel de TLS souffre un gros problème. N'importe quelle autorité de confiance peut signer un certificat pour n'importe quel domaine, même si le propriétaire actuel du nom de domaine a déjà demandé à une autre autorité de le faire (…)

Forum général.général Konqueror ne valide pas les certificats SSL quand la connexion est mauvaise

Posté par  . Licence CC By‑SA.
Étiquettes :
4
6
oct.
2014

Bonsoir,

je ne sais pas par ou commencer pour investiguer le bug suivant :
quand ma connexion est lente (<30kbit/s, merci free) et que je tente de naviguer en HTTPS avec Konqueror (avec Webkit), je me prend plein de cecrtificat invalides à longueur de la navigation, même sur des sites grands public (c'est pas des certificat auto signé donc).
En revanche, si le débit est bon, pas de problème.
J'ai comparé les certificats dans les deux situations, et effectivement, les (…)

Forum Linux.général Bloquer certains sites en https avec Squid/SquidGuard

Posté par  . Licence CC By‑SA.
2
17
sept.
2014

Bonjour à tous :),

Dans le cadre d'un projet que je dois effectuer avec 3 autres personnes, j'ai une question à vous poser concernant le blocage du protocole HTTPS avec Squid/SquidGuard.

En effet, nous avons créé une machine Linux sous la distribution Debian version 7.0.5 (Squeeze) au sein d'un lycée.

Nous avons réussi à répondre au cahier des charges du client sauf un point qui nous pose problème : bloquer le protocole HTTPS de certains sites comme Facebook, Youtube, Youp*** (…)

Journal Dominique Loiselet, Blue Coat : « généraliser le HTTPS va rendre la sécurité aveugle »

Posté par  . Licence CC By‑SA.
Étiquettes :
12
2
sept.
2014

Ce matin je suis tombé sur cet excellent article de silicon.fr, qui explique que le traffic chiffré, c'est pas bien du tout:
http://www.silicon.fr/dominique-loiselet-blue-coat-generaliser-https-securite-aveugle-96379.html

Le Gorafi pourrait en faire un copier coller, ils n'auraient rien à modifier.

HAProxy 1.5

66
26
août
2014
Technologie

Après quatre ans et trois mois, et pas moins de 26 versions de développement, la version réputée stable de HAProxy devient la 1.5. Même si HAProxy est avant tout un répartiteur de charge HTTP et TCP, les possibilités offertes par la version 1.5 en font le véritable couteau suisse du Web à haute charge.

HAProxy

Il est utilisé, entre autres, par de nombreux sites d’audience mondiale, tels que Twitter, Instagram, GitHub, Reddit… Cette version apporte de nombreuses nouveautés, dont la très attendue prise en charge de l’offloading SSL.

La version 1.5.0 a été rapidement suivie de quelques versions correctives. Nous en sommes à la 1.5.3, disponible depuis le 25 juillet dernier.

Journal Passer au HTTPS pour améliorer son PageRank

Posté par  . Licence CC By‑SA.
Étiquettes :
12
8
août
2014

Google vient d'annoncer qu'il commence à prendre en compte la présence du protocole d'accès HTTPS pour évaluer le score d'un site web (PageRank) :
HTTPS as a ranking signal

J'ai commencé la construction d'un site web pour la première fois et j'ai choisi de rediriger tout le traffic vers l'HTTPS par défaut.
Il n'y a donc aucun accès possible par HTTP.

J'avoue ne pas avoir trop réfléchi à la question et jusqu'ici je n'ai vu que les 3 (…)

Forum général.général linuxfr.org et SSL

Posté par  . Licence CC By‑SA.
Étiquettes :
5
2
juil.
2014

En testant linuxfr.org sur https://www.ssllabs.com, j'obtiens un résultat assez inquiétant. Rapidement ça dit que le site est exposé à la faille CVE-2014-0224. Du coup, le https ne sert pas à grand chose sur linuxfr.org.
Je ne suis pas très familier avec ces histoires mais j'imagine qu'il faudrait corriger la situation au plus vite.

Proxy HTTP(s) gatejs

Posté par  . Édité par Xavier Teyssier, Benoît Sibaud, Pierre Jarillon et rootix. Modéré par ZeroHeure.
20
20
juin
2014
JavaScript

gatejs est un nouveau mandataire/proxy HTTP(s) (forward & reverse) qui a pour vocation de remplacer squid, nginx, varnish ou encore apache, dans leurs fonctions de proxy (forward & reverse). Il est publié sous licence GPLv3.

Il est développé en JavaScript (2/3) et en C++ (1/3). Il est prévu que la proportion de C++ se réduise au fil du temps. Ce proxy utilise le moteur Javascript V8 et nodejs.

Il a été initialement conçu pour offrir plus de flexibilité sur l'interception et le traitement d'informations en HTTP.

Pour ceux qui ne sont pas pro-JavaScript, il est important de préciser que les performances de gatejs sont proches, voire dans certains cas, supérieures à nginx.

De plus, l'utilisation de Javascript permet d'augmenter la lisibilité des codes, de les factoriser et de renforcer la sécurité, surtout pour des opérations complexes.

Les configurations sont écrites au moyen de la notation d'objets Javascript (JSON).

Journal Les macarons, pour remplacer les cookies

21
19
mai
2014

Aujourd'hui, sur le Web, l'authentification de chaque requête HTTP, une fois passée le "login" initial, se fait presque toujours avec un cookie, une série de bits générée par le serveur et qu'un éventuel attaquant ne pourrait pas deviner. Les cookies ont plusieurs limites, notamment parce qu'ils sont tout ou rien. Si je passe un cookie à un tiers (volontairement ou bien parce que la session n'était pas bien protégée), ce tiers a exactement les mêmes droits que moi. Des chercheurs (…)

Forum Linux.général Gestion des https avec squid ou autre

Posté par  . Licence CC By‑SA.
Étiquettes :
3
4
jan.
2014

Bonjour,

Ceci est mon premier post sur LinuxFR, j'espère l'avoir mis au bon endroit !

Voici ma question:
J'ai testé SQUID, puis IPfire (avec squid aussi).
Je voudrais faire la chose suivante: bloquer tous les sites en http(s) et en autoriser certains.
Dans mon cas, tous les sites en https passent.
J'ai regardé sur les forum et le problème semble être connu, il semblerait que le navigateur crypte l'url du site en https, du coup SQUID ne peut plus le filtrer (…)

Journal Scandale de la NSA et cryptographie, le vrai du faux

Posté par  . Licence CC By‑SA.
39
11
oct.
2013

Bonjour à tous,

Depuis le scandale de la National Security Agency en juin 2013 et les révélations sur le programme PRISM, la cryptographie a connu une explosion d'intérêt dans le monde entier. Les médias de masse s'en sont emparés, tout le monde s'est mis à en parler, et comme à chaque fois que l'on donne un sujet technique à Mme. Michu, d'énormes absurdités en sont ressorties, et on a enregistré un pic de popularité du mot "cryptocalypse".

J’espère ici (…)

Forum Programmation.python Paster + apache et mod_proxy en SSL

Posté par  .
Étiquettes :
3
24
oct.
2012

J'ai eu du mal à trouver de la doc, donc voilà comment faire tourner paster avec apache en frontal via mod_proxy, en https.

Le but est de laisser apache gérer https, puis de faire suivre la requête à paster.

 requête https           http
--------------->[apache]------>[paster        ]
                [*:443 ]       [127.0.0.1:8080]

La difficulté est de faire que les liens dans les pages retournées par paster commencent bien par https://

En fait le salut vient de PrefixMiddleware qui va permettre de donner le bon scheme (…)