Forum Linux.général Squid : Certains sites TLS ne traversent pas

Posté par (page perso) . Licence CC by-sa.
3
3
juil.
2018

Bonjour,

Je rencontre un problème avec mon serveur Squid pour afficher quelques sites en HTTPS.
Je n'arrive pas à comprendre la logique car la plupart passent bien et d'autre me retournent une erreur type "Échec de la connexion sécurisée".

Quelques exemples de sites qui ne traversent pas le proxy : https://bitly.com, https://www.velomacchi.com, https://www.raise3d.com/

J'imagine que leur configuration TLS est différente d'autres sites mais je ne sais pas en quoi.

Je remarque des différences avec Wget et openssl connect.

(...)

Post‐mortem de l’incident du 3 juin 2018

50
5
juin
2018
LinuxFr.org

Beaucoup d’entre‐vous s’en sont rendus compte, le certificat X.509 utilisé par LinuxFr.org a expiré ce 3 juin 2018. Retour sur cet incident et sur le renouvellement de ce certificat dans la seconde partie de cette dépêche.

Journal DLFP hacké

Posté par (page perso) . Licence CC by-sa.
12
3
juin
2018

Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.

Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle (...)

Forum Linux.debian/ubuntu Erreur Firefox: «la connexion n'est pas sécurisée»

Posté par (page perso) . Licence CC by-sa.
Tags :
3
2
mar.
2018

Bonjour!
J'ai ce message lorsque je souhaite accéder à la page https://snap.berkeley.edu/ :

La connexion n'est pas sécurisée

Les propriétaires de snap.berkeley.edu ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s'est pas connecté à ce site web.

Le problème, c'est que sur un autre ordinateur avec un système identique, je n'ai pas ce message. La configuration des deux ordinateurs:
Linux Mint 18.3 à jour, Firefox des dépôts, 58.0.2, en 64 bits.

D'où (...)

Journal Letsencrypt désactive l'authentification tls-sni

Posté par . Licence CC by-sa.
56
19
jan.
2018

Let's Encrypt (LE) est une autorité de certifications qui a bousculé l’écosystème en fournissant gratuitement des certificats SSL reconnus par la plupart des navigateurs.
Ces certificats ont une durée de validité assez courte (quelques mois), mais des scripts permettent de les générer et de les renouveler automatiquement.

Pour obtenir ou renouveler un certificat il faut réussir à démontrer que le demandeur est bien le propriétaire du nom domaine rattaché au certificat.

Pour se faire il existait trois méthodes (challenges):

Journal À quand l'HTTPS par défaut sur LinuxFR ?

29
14
fév.
2017

Bonjour'nal

Jusqu'à présent pour mouler sur LinuxFR de manière sécurisée avec mon copain TLS on est obligé d'utiliser les services de l'EFF, on est maintenant en 2k17 et ça nous déçois un peu…
Administrateurs, si vous nous lisez ne voulez-vous pas déposer une petite redirection 301 de http://linuxfr.org vers https://linuxfr.org ?

Si non, voulez-vous bien éclairer ma lanterne fort cabossée ? Qu'est-ce qui serait limitant pour forcer HTTPS aujourd'hui ?

La bise.

Forum Linux.général Let's encrypt et plusieurs serveurs sur la même IP

Posté par . Licence CC by-sa.
0
6
nov.
2016

Je cherche un moyen de certifier des certificat TLS avec cette m…. de Let's encrypt.
Trois serveurs se trouvent sur la même IP publique et un seul des trois (qu'on nommera server1) occupe les ports publique 80/443.

Donc la grande question : comment certifier les certificat de server2 et server3 alors que let's encrypt ne permet PAS de choisir d'autres ports que les deux principaux des 4 ports web (car oui, même 8080 et 8443 ne sont pas autorisé, oh (...)

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (...)

Forum général.général Sécurité, https, et Doku Wiki

Posté par (page perso) . Licence CC by-sa.
0
22
sept.
2016

Bonjour,

2 questions pour le prix d'une ;-)

Ecouter aux portes le trafic internet

Je sais qu'en théorie, si on a des données sensibles dans des pages web, un pirate pourrait intercepter le trafic réseau et lire le contenu des pages webs.

Mais en pratique, pour lire le trafic réseau, à part en cas d'utilisation par appareils mobile (et donc en wifi) avec lecture du trafic wifi, y a t'il possibilité pour un pirate d'écouter le trafic internet ?

https et DokuWiki

(...)

Les temps sont durs chez TuxFamily.org

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa.
20
1
avr.
2016
Humour

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

  • mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
  • logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
  • vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
  • hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
  • autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

Sondages sur les serveurs web Netcraft et SecuritySpace de décembre 2015

Posté par (page perso) . Édité par Benoît Sibaud et BAud. Modéré par ZeroHeure. Licence CC by-sa.
16
15
jan.
2016
Internet

Netcraft est un site web connu pour sa réalisation de sondages sur le logiciel utilisé par les serveurs web sur Internet, ainsi que pour la détection (et l'historique) de ces mêmes logiciels sur requête de ses visiteurs.

Chaque mois, Netcraft publie le résultat de son sondage. Le sondage du mois de décembre est donc disponible, et la deuxième partie de dépêche vous propose un commentaire de ce sondage.

Security Space publie aussi un sondage chaque mois sur les serveurs web (qui aurait besoin d'un peu de toilettage ceci dit).

Forum Linux.général Auto-hébergement, docker et HTTPS

2
28
nov.
2015

Bonjour,
Je jette un peu une bouteille à la mer, c'est juste une idée qui me passe par la tête, j'ai pas vraiment pris le temps de chercher, j'aimerais échanger sur la question avec des connaisseurs, et d'ailleurs cette idée est peut-être complètement débile, voyons ça…

Je m'intéresse à l'auto-hébergement pour mes besoins propres. Je connais Cozy, Yuno, etc, les projets en pointe sur le sujet. Et dès qu'on aborde la question de HTTPS avec l'utilisation de son propre certificat (...)

Journal Le premier certificat SSL de Let's Encrypt

Posté par . Licence CC by-sa.
36
15
sept.
2015

Pour rappel, Let's Encrypt permettra d'automatiser la création (et la maintenance) de certificats SSL. Le tout gratuitement et de manière ouverte.

Le premier certificat SSL de Let's Encrypt est en ligne :
Our First Certificate Is Now Live

Comme indiqué dans le lien, la propagation dans les principaux navigateurs est en cours. Donc pour le moment, il faut l'ajouter à la main.

Il y eu un petit dérapage du planning, mais rien de bien méchant :

  • Premier certificat : 27/07/2015 (...)

Journal HTTP poussé vers la sortie ?

Posté par . Licence CC by-sa.
54
3
mai
2015

Accompagnée d'organisations telles que l'IETF ou le W3C, la fondation Mozilla a annoncée son intention de mettre fin au support du protocole HTTP dans sa forme non sécurisée et souhaite encourager la mise en place de TLS pour la plupart des sites Web. L'équipe de Chromium elle aussi y pense fortement.

En effet l'ambiance du moment est de retirer les protocoles en texte clair de l'usage d'Internet afin d'assurer une meilleure protection de la vie privée. Notons aussi (...)