LibreSSL 2 est bien lancé

Posté par  . Édité par Nÿco, ZeroHeure, M5oul, BAud, Davy Defaud, ariasuni, palm123, RyDroid, bubar🦥 et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
63
1
déc.
2014
Sécurité

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
LibreSSL

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

Journal Encryptons

Posté par  . Licence CC By‑SA.
41
18
nov.
2014

Cher journal,

Toi aussi tu trouves que la gestion des certificats, c'est compliqué (enfin, moi je ne trouve pas mais il parait que c'est le cas), tu trouves que les certificats, c'est trop cher, tu ne savais pas quoi répondre au sondage sur le prochain certificat de linuxfr.org. Alors réjouis-toi, l'EFF et Mozilla ont trouvé que les associations australiennes n'étaient pas terribles, et ont fondé leur propre association qui veut être une autorité de certification reconnue et qui va (…)

CVE-2014-3566 — Vulnérabilité POODLE

Posté par  . Édité par Nÿco, bubar🦥, Davy Defaud, Xavier Teyssier, palm123 et Benoît Sibaud. Modéré par patrick_g. Licence CC By‑SA.
32
17
oct.
2014
Sécurité

Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

HAProxy 1.5

66
26
août
2014
Technologie

Après quatre ans et trois mois, et pas moins de 26 versions de développement, la version réputée stable de HAProxy devient la 1.5. Même si HAProxy est avant tout un répartiteur de charge HTTP et TCP, les possibilités offertes par la version 1.5 en font le véritable couteau suisse du Web à haute charge.

HAProxy

Il est utilisé, entre autres, par de nombreux sites d’audience mondiale, tels que Twitter, Instagram, GitHub, Reddit… Cette version apporte de nombreuses nouveautés, dont la très attendue prise en charge de l’offloading SSL.

La version 1.5.0 a été rapidement suivie de quelques versions correctives. Nous en sommes à la 1.5.3, disponible depuis le 25 juillet dernier.

Forum Linux.général Certificats de sécurité et noms de domaines

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
25
août
2014

Bonjour,

j'ai besoin d'ajouter des certificats de sécurités pour une poignée de sites sur mes serveurs.

Certains certificats permettent d'authentifier tous les sous-domaines d'un nom de domaine.
D'autres semblent ne pas prendre en compte les sous-domaines.

J'ai des nom de domaines différents, et aussi des sous-domaines différents.
Est ce qu'avec une seule IP je pourrait m'en sortir? Dois-je aussi lourer des Ip supplémentaires?

Et en IPv6?

Merci
G

Forum général.général linuxfr.org et SSL

Posté par  . Licence CC By‑SA.
Étiquettes :
5
2
juil.
2014

En testant linuxfr.org sur https://www.ssllabs.com, j'obtiens un résultat assez inquiétant. Rapidement ça dit que le site est exposé à la faille CVE-2014-0224. Du coup, le https ne sert pas à grand chose sur linuxfr.org.
Je ne suis pas très familier avec ces histoires mais j'imagine qu'il faudrait corriger la situation au plus vite.

Journal OpenSSL est mort, vive (le futur) LibreSSL

Posté par  (site web personnel) .
70
22
avr.
2014

Salut les jeunes,

Vous n'êtes pas sans savoir qu'OpenSSL, la librairie plus ou moins standard implémentant les protocoles SSL/TLS, a récemment fait beaucoup parler d'elle pour un bug extrêmement grave. La librairie n'en était pas à son premier coup, elle a déjà fait parler d'elle à plusieurs reprises par le passé par sa piètre qualité (j'ai pas vu moi-même, je ne fais que rapporter ce que j'entends sur la toile).

Et bien les gens de chez OpenBSD en ont (…)

Nouvelle vulnérabilité dans l’implémentation OpenSSL

Posté par  . Édité par Davy Defaud, Benoît Sibaud, Lucas Bonnet, Bruno Michel et claudex. Modéré par Ontologia. Licence CC By‑SA.
86
8
avr.
2014
Sécurité

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Journal Scandale de la NSA et cryptographie, le vrai du faux

Posté par  . Licence CC By‑SA.
39
11
oct.
2013

Bonjour à tous,

Depuis le scandale de la National Security Agency en juin 2013 et les révélations sur le programme PRISM, la cryptographie a connu une explosion d'intérêt dans le monde entier. Les médias de masse s'en sont emparés, tout le monde s'est mis à en parler, et comme à chaque fois que l'on donne un sujet technique à Mme. Michu, d'énormes absurdités en sont ressorties, et on a enregistré un pic de popularité du mot "cryptocalypse".

J’espère ici (…)

Les journaux LinuxFr.org les mieux notés du mois de septembre 2013

Posté par  (site web personnel) . Modéré par Nils Ratusznik. Licence CC By‑SA.
11
1
oct.
2013
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une quinzaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de septembre passé.

Journal Chiffrement SSL et confidentialité

Posté par  (site web personnel) . Licence CC By‑SA.
35
6
sept.
2013

Depuis quelques temps j'ai eu pas mal de lecture sur le fonctionnement de SSL et notamment des articles sur les conséquences de l'utilisation de certains algorithmes de chiffrement (cipher) et sur les défauts de certains. Comme je pense que ça pourrait intéresser quelques personnes dans le coin, je vous fais donc part de tout ceci.

Tout d'abord, en entrée, je vous propose un article du Monde qui parle de travaux pour imposer un contournement possible des algorithmes SSL aux éditeurs (…)

Forum Linux.général CACert.org et certificat pour plusieurs sous-domaines (futurs)

Posté par  (site web personnel) . Licence CC By‑SA.
2
10
août
2013

Bonjour à tous,

Je souhaiterais générer un certificat ssl pour l'ensemble de mes sous-domaines, actuel et surtout futur.

J'ai lu qu'il était déconseillé de générer un certificat (cacert.org) pour le CN *.domain.tld

Ma question est donc, comment dois-je m'y prendre pour permettre de certifier tous mes (prochains) sous-domaine ?

Forum Linux.debian/ubuntu Besoin d'aide : Debian Squeeze Open Ldap et SSL :)

Posté par  . Licence CC By‑SA.
Étiquettes :
1
12
juin
2013

Bonjour à tous.
Je suis nouveau sur le forum et novice en Linux également. Je suis actuellement en formation professionnelle "réseau, exploitations, etc…" (je passe sur le titre il importe peu ici).
Bref j'ai découvert Linux au début de ma formation il y a 6 mois, je suis actuellement en stage (pour deux mois).
Je vais essayer de ne pas vous noyer dans une logorrhée inutile. Et m'en tenir à l'essentiel.

Je dois monter un Open Ldap (avec SSL) dans (…)

Certificat SSL/TLS pour serveur web, HTTPS et problèmes associés

Posté par  (site web personnel) . Édité par Bruno Michel. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
37
6
juin
2013
LinuxFr.org

Les serveurs utilisent des certificats TLS (ex SSL) pour permettre des échanges chiffrés avec les navigateurs (éviter les écoutes, les modifications, protéger la vie privée, sécuriser des échanges financiers, permettre de vérifier que le serveur est le bon, etc.). Et donc soit on auto-certifie son propre certificat, soit on passe par une autorité de certification (ou une chaîne d'autorités).

Côté client, les autorités acceptées sont gérées soit par le navigateur (Firefox, Chrome, Opéra, un navigateur basé sur java…) et c'est alors spécifique au navigateur , soit le navigateur délègue ça au système (rekonq, konqueror, iceweasel…) et c'est alors spécifique au système.

LinuxFr.org utilise un même certificat sur les différents domaines gérés, dont les serveurs de production et de test, le serveur cache des images, ainsi que le gestionnaire de listes de diffusion. Ce certificat doit être mis à jour sous peu (le 7 juin). Et comme à chaque mise à jour, les mêmes questions vont revenir, c'est donc l'occasion de faire le point sur le sujet (dans la seconde partie de la dépêche).

Journal Il a demandé à Free, il a rien compris

Posté par  (site web personnel) . Licence CC By‑SA.
42
4
fév.
2013

Bonjour Nal,

Récemment un ami m'a demandé de l'aide, car son client mail affichait un message d'erreur inquiétant:

Vérification du certificat SSL pour imap.free.fr :
(…)
Signature : MAUVAIS

N'étant pas sur place, je lui ai demandé de faire appel au support de Free, leur réponse est assez étrange:

Nous vous informons qu'il n'est pas utilisé d'authentification SSL par défaut avec un logiciel de messagerie pour un compte mail FREE.

Si votre ordinateur dispose des outils de protection importants tels (…)