Journal chexpire, un nouveau Logiciel Libre

3
5
juil.
2018

Un logiciel est considéré comme « libre » si il est publié sous une licence libre (GPL, BSD, etc.) mais à mon humble avis ce n'est pas suffisant. En effet, si l'on se contente de fournir le code source dans un tar.gz sans utiliser de dépôt public et sans Changelog, est-ce que cela donne véritablement la liberté de l'étudier ? Sans l'historique des commits, est-ce que cela permet facilement d'écrire un patch ?

Un Logiciel Libre doit pouvoir être étudié (...)

Forum Linux.général Squid : Certains sites TLS ne traversent pas

Posté par (page perso) . Licence CC by-sa.
3
3
juil.
2018

Bonjour,

Je rencontre un problème avec mon serveur Squid pour afficher quelques sites en HTTPS.
Je n'arrive pas à comprendre la logique car la plupart passent bien et d'autre me retournent une erreur type "Échec de la connexion sécurisée".

Quelques exemples de sites qui ne traversent pas le proxy : https://bitly.com, https://www.velomacchi.com, https://www.raise3d.com/

J'imagine que leur configuration TLS est différente d'autres sites mais je ne sais pas en quoi.

Je remarque des différences avec Wget et openssl connect.

(...)

Forum Programmation.python Utiliser SSLv3 avec la bibliothque ssl en python 2

Posté par . Licence CC by-sa.
1
27
avr.
2018

Bonjour, je cherche à faire un programme en python 2.7 (en utilisant uniquement des bibliothèque de la librairie standard) afin de déterminer les versions de SSL/TLS supportés par un site web.

Voici mon code (en mode un peu brouillon). Pour des soucis de clarté, je teste uniquement le cipher suite RC4-SHA ici

    #encoding=utf-8

    import ssl
    import socket
    import traceback
    import logging
    import sys
    import json

    class AnalyseSSL:

    cipher_list="RC4-SHA".split(":")    



    list_version_ssl_tls = [
    ("SSLv2", ssl.OP_ALL | ssl.OP_NO_SSLv3 | ssl.OP_NO_TLSv1 | ssl.OP_NO_TLSv1_1 |
(...)

Journal Letsencrypt désactive l'authentification tls-sni

Posté par . Licence CC by-sa.
56
19
jan.
2018

Let's Encrypt (LE) est une autorité de certifications qui a bousculé l’écosystème en fournissant gratuitement des certificats SSL reconnus par la plupart des navigateurs.
Ces certificats ont une durée de validité assez courte (quelques mois), mais des scripts permettent de les générer et de les renouveler automatiquement.

Pour obtenir ou renouveler un certificat il faut réussir à démontrer que le demandeur est bien le propriétaire du nom domaine rattaché au certificat.

Pour se faire il existait trois méthodes (challenges):

Journal Let's Encrypt, OVH et la sécurité

Posté par (page perso) . Licence CC by-sa.
12
27
juil.
2017

Bonjour Nal,

Depuis quelques temps, OVH permet à tout leurs clients d'avoir des certificats SSL gratuits grâce à Let's Encrypt. C'est automatisé, y'a rien à faire, et c'est bien!

Mais quel est l'intérêt si pour envoyer des fichiers sur mon hébergement, je n'ai aucune sécurité? En effet, depuis toujours, les hébergements Perso n'ont qu'un simple accès FTP, avec mot de passe non chiffré.
Pour Héberger mon blog, je n'ai pas besoin de 250 Go d'espace, ou de 100 comptes (...)

Journal Déploiement et automatisation avec Puppet 4.9 - partie 1

18
14
fév.
2017

Puppet est l'outil de gestion de configuration le plus connu, il a vu le jour en 2005, bien avant ses principaux concurrents (2009 pour Chef, 2011 pour Salt, 2012 pour Ansible). Il propose depuis maintenant longtemps une solution open-source en parallèle de la version entreprise (qui est évidemment payante) et il a eu le temps de grandir pour atteindre une taille plus que respectable.

Au contraire d'Ansible (...)

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (...)

Forum Linux.général Y a-t'il un lien entre IP publique et certificat wildcard ?

Posté par . Licence CC by-sa.
0
27
juin
2016

Bonjour,

Est-ce qu'un certificat wildcard peut être installé sur plusieurs serveurs différents hébergés à des endroits différents et avec des IP différentes ?

En fait mon hébergeur me facture un certificat wildcard qu'il a installé sur mon serveur hébergé chez lui.
Moi j'ai un autre serveur hébergé chez moi et qui partage le même nom de domaine que celui hébergé chez lui.
J'aimerai donc pouvoir le joindre en https sans avoir le message d'avertissement…

Si c'est possible alors pouvez vous m'indiquer (...)

Journal Le Directeur général de Comodo à propos de la marque déposée "Let's Encrypt"

Posté par (page perso) . Licence CC by-sa.
25
24
juin
2016

Il semblerait que Comodo essaye de récupérer la marque "Let's Encrypt"
https://letsencrypt.org//2016/06/23/defending-our-brand.html

Sur le Forum de la boîte, le Directeur général se défend, et c'est assez fou:
"Why are they copying our business model of 90 day free ssl is the question!"

En gros, ils leur reprochent d'avoir choisi une durée de vie de 90 jours pour leurs certificats arguant que c'était une innovation de Comodo:
- "We invented the 90 day free ssl"
- "So they are admitting they (...)

Journal Petites news dans le monde des autorités de certifications

Posté par .
39
18
juin
2016

Problème de sécurité chez letsencrypt

En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.
https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025

Nouveau nom du client letsencrypt

Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse (...)

Sortie de Proxmox VE 4.2

30
28
avr.
2016
Virtualisation

La societe Proxmox Server Solutions GmbH a publié le 27 avril 2016 la nouvelle version Proxmox VE 4.2 (licence GNU Affero GPL, v3). Proxmox est une plate‐forme de virtualisation, de type « bare metal », basée sur l’hyperviseur KVM et prenant aussi en charge les conteneurs LXC.

Au programme de cette nouvelle version : une nouvelle interface graphique, le thin provisionning avec ZFS et LVM et la prise en charge de Let’s encrypt.

L'éditeur fournit la solution Proxmox VE sous licence GNU Affero GPL, v3, mais permet à qui le souhaite de prendre un contrat payant pour obtenir un support professionnel.

Journal SSL EV, étendue oui, validation euh...

Posté par (page perso) . Licence CC by-sa.
Tags :
47
28
déc.
2015

On va parler d’ingénierie sociale… Non, je plaisante, pour notre sujet ce niveau est trop élevé, on va juste parler de chaîne de validation rigolote.

Tout part d'un prix pas trop cher pour un SSL EV (parce que le EV, on on voit à tous les prix, du simple au sextuple facile) directement chez un vendeur qui gère la chaîne complète (pas un revendeur, mais bien un qui a son certificat racine dans les navigateurs, ps n'importe qui donc), j'avais (...)

Journal Paranoïa, certificat SSL et tracasseries.

Posté par . Licence CC by-sa.
15
19
déc.
2015

Bonjour Nal,

Depuis quelque jours je constate des bizarreries très étranges lorsque je veux te lire.
Un jour, Chrome me dit que ton certificat SSL est révoqué, un autre jour tout va bien, et aujourd'hui, alors que je vérifier les chaines de parentés des certificats SSL, je tombe là dessus :

C'est fait depuis la même machine, même connexion, même adresse IP, et deux navigateurs différents.

Dans Chrome, la CA, c'est AddTrust External Root. Pourquoi pas, ce certificat à un (...)

Journal Let’s Encrypt en bêta : petit retour d’expérience

Posté par . Licence CC by-sa.
51
17
nov.
2015

Comment vas-tu yau de nal,

Je t’écris pour te donner des nouvelles de Let’s Encrypt, cette nouvelle autorité de certification sponsorisée, entre autres, par Mozilla, l’Electronic Frontier Foundation, Cisco, Akamai… qui fournit des certificats SSL gratuits. Il en a déjà été question sur DLFP, pour annoncer sa création et son premier certificat.

Le projet est actuellement au stade de bêta sur invitation. Il faut remplir un formulaire et attendre quelques jours que les (sous-)domaines demandés soient passés en (...)