Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.
Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle catastrophe ainsi qu'une liste d'actions correctives. La plus évidente étant bien sûr d'arrêter le temps de manière globale le weekend.
# renouvellement de certificat
Posté par ZeroHeure (site web personnel) . Évalué à 10. Dernière modification le 03 juin 2018 à 11:50.
Mais non, c'est seulement le certificat SSL qui avait expiré. Il a été renouvelé
en urgenceen IPOT mais à cause des orages, le décalage temporel a un peu foiré."La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
# Bravo / pas bravo
Posté par gouttegd (site web personnel) . Évalué à 10.
Alors, d’un côté : bravo à l’administrateur qui se lève le dimanche matin, constate le problème, et fait immédiatement le nécessaire.
D’un autre côté : pas bravo pour avoir laissé le certificat expirer en premier lieu. C’est pas sérieux, si ça se reproduit je donnerai mes 0 € d’abonnement à un autre site.
Bon, et du coup, le passage d’un certificat Gandi à un certificat Let’s Encrypt, c’était ce qui était prévu ou c’est juste que c’était plus facile d’obtenir un certificat en urgence auprès de Let’s Encrypt ? :D
[^] # Re: Bravo / pas bravo
Posté par Sytoka Modon (site web personnel) . Évalué à 5. Dernière modification le 03 juin 2018 à 22:02.
Au boulot, j'utilise le greffon nagios check_https qui lève une alerte 1 semaine (ou 2 je ne sais plus) avant la fin de la validité du certificat. Bien pratique en pratique…
[^] # Re: Bravo / pas bravo
Posté par Bruce Le Nain (site web personnel) . Évalué à 3. Dernière modification le 04 juin 2018 à 09:58.
J'ai eu le même problème dans la mairie ou je travaille. Suite à une perte d'accès, je ne sais plus comment, avec le passage à la v5 da Gandi, et l’impossibilité de me connecter, il s'est avéré finalement plus rapide de créer un certificat wildcard let's encrypt que de renouveler le certificat via Gandi (même si le problème de connexion avait été résolu, avec les paiement par mandats administratifs on était hors délai).
[^] # Re: Bravo / pas bravo
Posté par dinomasque . Évalué à 10.
Bah, Linuxfr a bien tourné pendant des années avec un certificat reconnu par personne ;-)
BeOS le faisait il y a 20 ans !
# Début du compte rendu
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 03 juin 2018 à 11:59.
Avant de râler sur linuxfr dans un journal bien senti à l'encontre des administrateurs pour dire ce que j'en pense, j'ai pris la peine dans le courant de la matinée, dans la seconde après avoir découvert cette insupportable situation d'insécurité, d'avertir les administrateurs par Twitter. (chose que personne à priori n'avait fait :-/ ).
Bien m'en a pris, puisque notre cher président m'a répondu et a pris le problème très au sérieux en "likant" mon tweet dans les minutes qui ont suivi, puis a répondu quelques dizaines de minutes après, le temps d'investiguer je suppose, qu'ils étaient sur le coup.
Environ deux heures après, dixit notre cher admin sys, le problème était résolu, en plus, d'une heureuse manière : ce bon vieux certificat acheté à prix d'or chez Gandi, a été remplacé par un certificat let's encrypt gratuit, qui sera renouvelé périodiquement automatiquement. Le problème ne devrait donc plus réapparaitre !
Du coup, je n'ai plus envie de râler dans un journal, mais plutôt faire un bisou à nos sauveurs, qui n'hésitent pas à mouiller la chemise même par un beau dimanche ensoleillé :-)
[^] # Re: Début du compte rendu
Posté par ZeroHeure (site web personnel) . Évalué à 9.
Ce sont les limites du bénévolat… Benoît en a parlé sur la chaîne télé des modérateurs le 24 mai, mais personne ne s'est décidé avant juin. Merci d'avoir joint les admins.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Pertinent
Posté par Philip Marlowe . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Début du compte rendu
Posté par Florent Zara (site web personnel, Mastodon) . Évalué à 10.
Salut Laurent,
Merci pour tes signalements et ta bienveillance :-)
Les éléments ci-dessous sont largement extraits d'un e-mail envoyé par Nils sur nos listes internes après que la situation a été rétablie.
Effectivement, on a eu un petit souci ce matin au réveil, les certificats SSL pour LinuxFr.org (prod, alpha et probablement le reste) avaient expiré ! Pour plein de bonnes et de mauvaises raisons, nous avons laissé passé la date : disponibilité, procrastination, e-mails de rappels en spam, etc.
Nos utilisateurs attentifs nous ont pingués sur nos ML et sur Twitter. À cela on ajoute que certains admins étaient aux Geek Faeries et donc peu disponibles.
Pour mémoire, nous utilisions depuis 2015 un certificat wildcard fourni gracieusement par Gandi. Un grand merci à eux d'ailleurs pour leur soutien et leur générosité. Ils n'ont pas hésité une seconde à l'époque.
Une fois au courant, nous avons accusé réception, vérifié le souci et travaillé sur deux solutions en parallèle pour être sûr de pouvoir rétablir la connexion sécurisé au plus tôt :
La seconde solution a fonctionné, pas besoin de sortir la CB : les sites web linuxfr.org, img.linuxfr.org, alpha.linuxfr.org et img.alpha.linuxfr.org utilisent maintenant un certificat Let's Encrypt, au moins pour une durée de 90 jours. Le renouvellement ne devrait pas être difficile, mais nous en discuterons en interne avant de définir la stratégie sur le long terme.
Côté technique, et comme certbot n'est pas forcément disponible sur toutes les machines (selon les distributions et les versions), Nils a opté pour dehydrated, qui a le mérite d'être léger en dépendances et installable facilement. Accessoirement il l'avait déjà empaqueté pour pkgsrc/NetBSD, donc ça aide.
La modification a d'abord été réalisée et testée sur alpha avant d'être reproduite en prod.
Certains fichiers de configuration de nginx ont été modifiés un peu à l'arrache et directement sur les machines (alors que nous disposons de dépôts git pour ça), donc il y aura encore un peu de travail de consolidation dans les jours qui viennent à ce niveau.
Encore merci à
[^] # Re: Début du compte rendu
Posté par bunam . Évalué à 2.
Il y a aussi https://github.com/Neilpang/acme.sh
Bonne continuation !
[^] # Re: Début du compte rendu
Posté par Wawet76 (site web personnel) . Évalué à 3.
J'ai utilisé acme.sh au début. Je suis passé à Dehydrated depuis.
Je le trouve plus simple à utiliser (un fichier de conf avec les domaines à gérer, une entrée dans une crontab), et surtout il est packagé dans Debian.
[^] # Re: Début du compte rendu
Posté par ohm . Évalué à 3.
<mauvaise_langue>Combien parie-t-on qu'on aura le même journal dans 90 jours ?</mauvaise_langue>
[^] # Re: Début du compte rendu
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à 6.
S'il n'y a pas d'incident pour cause de certificat expiré dans 90 jours, je gagne quoi ? ;)
[^] # Re: Début du compte rendu
Posté par BAud (site web personnel) . Évalué à 3.
tu pourras prendre quelques bières avec moi :p
Merci pour ton implication constante \o/
[^] # Re: Début du compte rendu
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à 3.
s/bières/diabolos grenadine/
Ça me va :) On pourra faire ça au POSS 2018 si je peux y aller !
[^] # Re: Début du compte rendu
Posté par claudex . Évalué à 4.
Le droit de t’en vanter pendant 90 jours.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Début du compte rendu
Posté par SlowBrain (site web personnel) . Évalué à 6.
Non non, tu n’est pas le seul à avoir remonté l’info… j’ai juste préféré le mail.
# Bon et bience lundi 4 juin : rebelotte !!
Posté par TuxMips . Évalué à 1.
J'ai du passer outre l'avertissement : à nouveau certificat expiré !
Ca ne dure pas plus de 24 heures un certificat ?
Bon ben bonne journée à tous ;-)
[^] # Re: Bon et bience lundi 4 juin : rebelotte !!
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 5.
Ce n'est pas plutôt ton cache navigateur qui te joue des misères ?
[^] # Re: Bon et bience lundi 4 juin : rebelotte !!
Posté par Florent Zara (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 04 juin 2018 à 09:44.
Pourrais-tu nous donner des infos sur ton certificat actuel ?
Ça nous permettrait de mieux comprendre le souci.
Merci.
[^] # Re: Bon et bience lundi 4 juin : rebelotte !!
Posté par TuxMips . Évalué à 1.
Oui c'est bizarre : ce matin aucun soucis.
Le certificat est bien : Let's Encrypt Authority X3
Firefox est paramétré en mode "navigation privée".
[^] # Re: Bon et bience lundi 4 juin : rebelotte !!
Posté par Benoît Sibaud (site web personnel) . Évalué à 3. Dernière modification le 05 juin 2018 à 08:16.
Le certificat pour
www.linuxfr.orgn'a été remplacé qu'hier soir. (Cette conf un peu inutile du www n'existe pas sur le serveur de dev, et il est facile de l'oublier). Dix certificats sur quatorze (smtp et https pour les différents domaines) sont à jour actuellement, les quatre derniers étant invisibles de l'extérieur. Et encore un peu de taf pour finaliser l'automatisation de l'installation et du renouvellement.# vers une généralisation des titres racoleurs ?
Posté par steph1978 . Évalué à 5. Dernière modification le 05 juin 2018 à 12:42.
Le certificat est expiré, ce qui arrive tout le temps (chez mes clients en tout cas, leur processus de renouvellement étant infiniment et inutilement compliqué), et tu parles de hack ?
Souvent, l'erreur explique bien mieux les choses que le complot.
[^] # Re: vers une généralisation des titres racoleurs ?
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à -1.
Merci de rester courtois dans les échanges (j'ai modifié le titre du commentaire).
[^] # Re: vers une généralisation des titres racoleurs ?
Posté par steph1978 . Évalué à 10.
Désolé mais putassier n'est pas considéré comme discourtois par wiktionary, seulement vieilli. Et synonyme de racoleur.
Tu as donc fait preuve de jeunisme dans ton acte de modération.
[^] # Re: vers une généralisation des titres racoleurs ?
Posté par Kerro . Évalué à 5.
man second-degréC'est pas comme si c'était évident :
# post mortem
Posté par Krunch (site web personnel) . Évalué à 5.
https://linuxfr.org/news/post-mortem-de-l-incident-du-3-juin-2018
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.