Journal Let's Encrypt, OVH et la sécurité

Posté par (page perso) . Licence CC by-sa
12
27
juil.
2017

Bonjour Nal,

Depuis quelques temps, OVH permet à tout leurs clients d'avoir des certificats SSL gratuits grâce à Let's Encrypt. C'est automatisé, y'a rien à faire, et c'est bien!

Mais quel est l'intérêt si pour envoyer des fichiers sur mon hébergement, je n'ai aucune sécurité? En effet, depuis toujours, les hébergements Perso n'ont qu'un simple accès FTP, avec mot de passe non chiffré.
Pour Héberger mon blog, je n'ai pas besoin de 250 Go d'espace, ou de 100 comptes (...)

Firefox 50 Cent

81
17
nov.
2016
Mozilla

La 50e version majeure de Firefox est sortie le 15 novembre 2016.
Raccourcis claviers, démarrage plus rapide, Emojis, Let’s encrypt, 27 failles corrigées mais aussi des projets plein la tête !

Logo de Firefox gold : http://www.dailyfreepsd.com/icon/software-icon/awesome-gold-silver-firefox-icon.html
     Design par Jeferson « wsaconato », sans licence explicite.

Forum Linux.général Let's encrypt et plusieurs serveurs sur la même IP

Posté par . Licence CC by-sa
0
6
nov.
2016

Je cherche un moyen de certifier des certificat TLS avec cette m…. de Let's encrypt.
Trois serveurs se trouvent sur la même IP publique et un seul des trois (qu'on nommera server1) occupe les ports publique 80/443.

Donc la grande question : comment certifier les certificat de server2 et server3 alors que let's encrypt ne permet PAS de choisir d'autres ports que les deux principaux des 4 ports web (car oui, même 8080 et 8443 ne sont pas autorisé, oh (...)

Forum général.général Let's Encrypt en prod en entreprise

Posté par . Licence CC by-sa
Tags :
3
21
sept.
2016

Salut
Je récupère l'administration d'un serveur web (2-3 sites Wordpress).
Ma première tâche va être d'activer HTTPS.

Réduction des coûts oblige, je regarde Let's Encrypt.

Je m'interroge sur la pertinence d'utiliser ces certificats.
Oui, ils sont gratuits, mais limités à 90 jours.
Il faut donc les renouveler régulièrement, ce qui implique des coûts d'exploitation, soit pour le renouvellement manuel, soit pour l'exploitation du script d'automatisation.

Finalement, autant payer quelques dizaines d'euros et être tranquille pendant deux ans.

Des avis ?

Merci.

(...)

Journal Créer des certificats avec ACME/Let's Encrypt et des vérifications DNS

Posté par (page perso) . Licence CC by-sa
30
18
août
2016

Cher journal,

Voici une petite introduction à mon nouvel petit outil acme-dns-tiny qui me permet de demander à mon autorité de certification préférée de signer un certificat TLS automatiquement suite à des vérifications de ressources DNS et au moyen du protocol ACME.

L'outil a été crée depuis le projet père acme-tiny qui permet de faire la même chose, mais par vérification de liens HTTP.

Le but principal était de pouvoir créer des certificats sans avoir à perturber les services (...)

Journal Le Directeur général de Comodo à propos de la marque déposée "Let's Encrypt"

Posté par (page perso) . Licence CC by-sa
25
24
juin
2016

Il semblerait que Comodo essaye de récupérer la marque "Let's Encrypt"
https://letsencrypt.org//2016/06/23/defending-our-brand.html

Sur le Forum de la boîte, le Directeur général se défend, et c'est assez fou:
"Why are they copying our business model of 90 day free ssl is the question!"

En gros, ils leur reprochent d'avoir choisi une durée de vie de 90 jours pour leurs certificats arguant que c'était une innovation de Comodo:
- "We invented the 90 day free ssl"
- "So they are admitting they (...)

Journal Petites news dans le monde des autorités de certifications

Posté par .
39
18
juin
2016

Problème de sécurité chez letsencrypt

En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.
https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025

Nouveau nom du client letsencrypt

Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse (...)

Les temps sont durs chez TuxFamily.org

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
20
1
avr.
2016
Humour

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

  • mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
  • logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
  • vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
  • hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
  • autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

Reparlons de Let’s Encrypt

Posté par (page perso) . Édité par Davy Defaud, tankey, ZeroHeure, Benoît Sibaud, Xavier Teyssier et Nÿco. Modéré par ZeroHeure. Licence CC by-sa
81
24
fév.
2016
Sécurité

Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.

En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).

Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.

Journal Reparlons de Let’s Encrypt

Posté par (page perso) . Licence CC by-sa
61
23
fév.
2016
Ce journal a été promu en dépêche : Reparlons de Let’s Encrypt.

Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur Linuxfr, moi je t'aurais surtout demandé "Comment ?". J'ai l'intention de m'y mettre aussi mais j'ai pas encore franchi le pas et j'aimerais avoir des retours d'expérience.

L’auteur du journal a répondu que Let’s Encrypt était « suffisamment simple d’utilisation pour qu’il ne soit pas nécessaire [de s’]étendre sur le sujet. »

Je disconviens respectueusement. Questions à se poser, pièges (...)

Journal Pourquoi je suis passé à Let's Encrypt

Posté par (page perso) . Licence CC by-sa
1
14
fév.
2016

La façon dont on gère les certificats à l'heure actuelle me pose problème. Le principe même de devoir recourir à une instance étrangère pour vérifier l'identité d'un serveur présente, selon moi, un risque pour l'indépendance des éditeurs. Pourtant, je suis passé sur Let's Encrypt.

Il y a quelques jours, je vous parlais des certificats, et notamment de Let's Encrypt.

Pour moi, laisser un organisme tiers décider de la validité d'un certificat revient à abandonner notre indépendance. En effet (...)

Journal Sortie de Hubzilla 1.1

9
7
jan.
2016

Voici la traduction de l'annonce par Mike Macgirvin ce matin :

High Range, Australie
07 Janvier 2016

Tous mes voeux et bonne année. Les développeurs de Hubzilla sont heureux de vous annoncer la sortie immédiate de Hubzilla 1.1, notre plate-forme communautaire décentralisée spécialisée dans l'identification inter-domaines et la protection de la vie privée.

Registre des évolutions :

Hubzilla 1.1

  • Gestionnaire de files d'attente et système de livraison réécrit et simplifié
  • Couches externes du protocole Zot réécrites et simplifiées
  • Utilisation d'un (...)

Journal Let’s Encrypt en bêta : petit retour d’expérience

Posté par . Licence CC by-sa
51
17
nov.
2015

Comment vas-tu yau de nal,

Je t’écris pour te donner des nouvelles de Let’s Encrypt, cette nouvelle autorité de certification sponsorisée, entre autres, par Mozilla, l’Electronic Frontier Foundation, Cisco, Akamai… qui fournit des certificats SSL gratuits. Il en a déjà été question sur DLFP, pour annoncer sa création et son premier certificat.

Le projet est actuellement au stade de bêta sur invitation. Il faut remplir un formulaire et attendre quelques jours que les (sous-)domaines demandés soient passés en (...)

Journal Encryptons

41
18
nov.
2014

Cher journal,

Toi aussi tu trouves que la gestion des certificats, c'est compliqué (enfin, moi je ne trouve pas mais il parait que c'est le cas), tu trouves que les certificats, c'est trop cher, tu ne savais pas quoi répondre au sondage sur le prochain certificat de linuxfr.org. Alors réjouis-toi, l'EFF et Mozilla ont trouvé que les associations australiennes n'étaient pas terribles, et ont fondé leur propre association qui veut être une autorité de certification reconnue et qui va (...)