Journal Déploiement et automatisation avec Puppet 4.9 - partie 1

18
14
fév.
2017

Puppet est l'outil de gestion de configuration le plus connu, il a vu le jour en 2005, bien avant ses principaux concurrents (2009 pour Chef, 2011 pour Salt, 2012 pour Ansible). Il propose depuis maintenant longtemps une solution open-source en parallèle de la version entreprise (qui est évidemment payante) et il a eu le temps de grandir pour atteindre une taille plus que respectable.

Au contraire d'Ansible (...)

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (...)

Forum Linux.général Y a-t'il un lien entre IP publique et certificat wildcard ?

Posté par . Licence CC by-sa
0
27
juin
2016

Bonjour,

Est-ce qu'un certificat wildcard peut être installé sur plusieurs serveurs différents hébergés à des endroits différents et avec des IP différentes ?

En fait mon hébergeur me facture un certificat wildcard qu'il a installé sur mon serveur hébergé chez lui.
Moi j'ai un autre serveur hébergé chez moi et qui partage le même nom de domaine que celui hébergé chez lui.
J'aimerai donc pouvoir le joindre en https sans avoir le message d'avertissement…

Si c'est possible alors pouvez vous m'indiquer (...)

Journal Le Directeur général de Comodo à propos de la marque déposée "Let's Encrypt"

Posté par (page perso) . Licence CC by-sa
25
24
juin
2016

Il semblerait que Comodo essaye de récupérer la marque "Let's Encrypt"
https://letsencrypt.org//2016/06/23/defending-our-brand.html

Sur le Forum de la boîte, le Directeur général se défend, et c'est assez fou:
"Why are they copying our business model of 90 day free ssl is the question!"

En gros, ils leur reprochent d'avoir choisi une durée de vie de 90 jours pour leurs certificats arguant que c'était une innovation de Comodo:
- "We invented the 90 day free ssl"
- "So they are admitting they (...)

Journal Petites news dans le monde des autorités de certifications

Posté par .
39
18
juin
2016

Problème de sécurité chez letsencrypt

En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.
https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025

Nouveau nom du client letsencrypt

Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse (...)

Sortie de Proxmox VE 4.2

30
28
avr.
2016
Virtualisation

La societe Proxmox Server Solutions GmbH a publié le 27 avril 2016 la nouvelle version Proxmox VE 4.2 (licence GNU Affero GPL, v3). Proxmox est une plate‐forme de virtualisation, de type « bare metal », basée sur l’hyperviseur KVM et prenant aussi en charge les conteneurs LXC.

Au programme de cette nouvelle version : une nouvelle interface graphique, le thin provisionning avec ZFS et LVM et la prise en charge de Let’s encrypt.

L'éditeur fournit la solution Proxmox VE sous licence GNU Affero GPL, v3, mais permet à qui le souhaite de prendre un contrat payant pour obtenir un support professionnel.

Journal SSL EV, étendue oui, validation euh...

Posté par (page perso) . Licence CC by-sa
Tags :
47
28
déc.
2015

On va parler d’ingénierie sociale… Non, je plaisante, pour notre sujet ce niveau est trop élevé, on va juste parler de chaîne de validation rigolote.

Tout part d'un prix pas trop cher pour un SSL EV (parce que le EV, on on voit à tous les prix, du simple au sextuple facile) directement chez un vendeur qui gère la chaîne complète (pas un revendeur, mais bien un qui a son certificat racine dans les navigateurs, ps n'importe qui donc), j'avais (...)

Journal Paranoïa, certificat SSL et tracasseries.

Posté par . Licence CC by-sa
15
19
déc.
2015

Bonjour Nal,

Depuis quelque jours je constate des bizarreries très étranges lorsque je veux te lire.
Un jour, Chrome me dit que ton certificat SSL est révoqué, un autre jour tout va bien, et aujourd'hui, alors que je vérifier les chaines de parentés des certificats SSL, je tombe là dessus :

C'est fait depuis la même machine, même connexion, même adresse IP, et deux navigateurs différents.

Dans Chrome, la CA, c'est AddTrust External Root. Pourquoi pas, ce certificat à un (...)

Journal Let’s Encrypt en bêta : petit retour d’expérience

Posté par . Licence CC by-sa
51
17
nov.
2015

Comment vas-tu yau de nal,

Je t’écris pour te donner des nouvelles de Let’s Encrypt, cette nouvelle autorité de certification sponsorisée, entre autres, par Mozilla, l’Electronic Frontier Foundation, Cisco, Akamai… qui fournit des certificats SSL gratuits. Il en a déjà été question sur DLFP, pour annoncer sa création et son premier certificat.

Le projet est actuellement au stade de bêta sur invitation. Il faut remplir un formulaire et attendre quelques jours que les (sous-)domaines demandés soient passés en (...)

Journal Le premier certificat SSL de Let's Encrypt

Posté par . Licence CC by-sa
36
15
sept.
2015

Pour rappel, Let's Encrypt permettra d'automatiser la création (et la maintenance) de certificats SSL. Le tout gratuitement et de manière ouverte.

Le premier certificat SSL de Let's Encrypt est en ligne :
Our First Certificate Is Now Live

Comme indiqué dans le lien, la propagation dans les principaux navigateurs est en cours. Donc pour le moment, il faut l'ajouter à la main.

Il y eu un petit dérapage du planning, mais rien de bien méchant :

  • Premier certificat : 27/07/2015 (...)

Journal Debug SSL/TLS avec OpenSSL - partie 1

Posté par (page perso) . Licence CC by-sa
Tags :
30
21
juil.
2015

Si tu es en pleine session de dé/bug SSL/TLS, cet article peut t'éviter quelques désagréments ;-)

SSL Labs, l'incontournable

On ne le présente plus, le site de Qualys permet de tester la configuration de son serveur facilement avec une interface web bien faite. Le test permet d'avoir un rapport concernant les points suivants :

  • Authentification : validité du certificat (nom du site, période de validité…),
  • présence et validité de la chaîne de certificat (chain)
  • Protocoles disponibles (SSLv2, SSLv3, TLS 1.0 (...)

Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par (page perso) . Licence CC by-sa
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (...)

Journal HTTP poussé vers la sortie ?

Posté par . Licence CC by-sa
54
3
mai
2015

Accompagnée d'organisations telles que l'IETF ou le W3C, la fondation Mozilla a annoncée son intention de mettre fin au support du protocole HTTP dans sa forme non sécurisée et souhaite encourager la mise en place de TLS pour la plupart des sites Web. L'équipe de Chromium elle aussi y pense fortement.

En effet l'ambiance du moment est de retirer les protocoles en texte clair de l'usage d'Internet afin d'assurer une meilleure protection de la vie privée. Notons aussi (...)

Journal panne de l'OCSP chez StartSSL/StartCom

Posté par (page perso) . Licence CC by-sa
Tags :
11
5
avr.
2015

Bonjour,

comme certains l'auront probablement remarqué, les serveurs OCSP de StartCom rencontrent des difficultés ce week end, bloquant ainsi l'accès à de nombreux services.

Pour rappel l'OCSP est un protocole permettant aux clients TLS de vérifier la révocation d'un certificat ; tandis que StartCom est l'éditeur du service StartSSL, un des rares fournisseurs de certificats gratuits et reconnus par la majorité des navigateurs.

Malheureusement ce n'est pas la première fois que leurs serveurs OCSP sont en rade, et pour ma (...)

Mettre en place un serveur Jabber avec du TLS et du Forward Secrecy

Posté par (page perso) . Édité par ZeroHeure, palm123, NeoX et Nÿco. Modéré par ZeroHeure. Licence CC by-sa
55
27
jan.
2015
XMPP

J'ai publié il y a quelques mois un tuto pour mettre en place "facilement" un serveur XMPP/Jabber avec Prosody et du SSL/TLS plutôt bien configuré sous Debian, j'ai eu pas mal de retours positifs depuis et je pense qu'il pourrait intéresser d'autres personnes.