Forum Linux.général Squid : Certains sites TLS ne traversent pas

Posté par (page perso) . Licence CC by-sa.
3
3
juil.
2018

Bonjour,

Je rencontre un problème avec mon serveur Squid pour afficher quelques sites en HTTPS.
Je n'arrive pas à comprendre la logique car la plupart passent bien et d'autre me retournent une erreur type "Échec de la connexion sécurisée".

Quelques exemples de sites qui ne traversent pas le proxy : https://bitly.com, https://www.velomacchi.com, https://www.raise3d.com/

J'imagine que leur configuration TLS est différente d'autres sites mais je ne sais pas en quoi.

Je remarque des différences avec Wget et openssl connect.

(...)

Post‐mortem de l’incident du 3 juin 2018

50
5
juin
2018
LinuxFr.org

Beaucoup d’entre‐vous s’en sont rendus compte, le certificat X.509 utilisé par LinuxFr.org a expiré ce 3 juin 2018. Retour sur cet incident et sur le renouvellement de ce certificat dans la seconde partie de cette dépêche.

Journal DLFP hacké

Posté par (page perso) . Licence CC by-sa.
12
3
juin
2018

Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.

Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle (...)

Journal Vérification des certificats X.509 sur le point d'expirer

Posté par . Licence CC by-sa.
8
3
jan.
2018

Comme beaucoup, j'utilise Let's Encrypt.
J'ai pas mal automatisé le renouvellement avec acme-tiny, mais il me manque surtout le petit truc qui me dit quand le certificat n'est plus valide. Et si possible, avant que ça arrive.

C'est là : https://framagit.org/Glandos/lets_check

C'est simple. Éditez le script pour y mettre votre délai en jours, et vos noms d'hôtes, et lancez-le. S'il y a un problème, ça l'écrit. Si tout va bien, rien n'est écrit. C'est donc tout à fait (...)

Quad9, résolveur DNS public, et sécurisé par TLS

39
17
nov.
2017
Internet

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd’hui. C’est un résolveur DNS public, mais dont l’originalité est d’être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, le lectorat de LinuxFr.org, étant très au fait du sujet, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS, mais il en existe beaucoup d’autres, avec des politiques et des caractéristiques techniques diverses. Notamment, tous (à l’exception de Cisco OpenDNS) sont non sécurisés : le lien entre vous et le résolveur est en clair, tout le monde peut écouter, et il n’est pas authentifié, donc vous croyez parler à Google Public DNS mais, en fait, vous parlez au tricheur que votre FAI a annoncé dans ses réseaux locaux.

Journal Quad9, résolveur DNS public, et sécurisé par TLS

Posté par (page perso) . Licence CC by-sa.
42
16
nov.
2017
Ce journal a été promu en dépêche : Quad9, résolveur DNS public, et sécurisé par TLS.

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd'hui. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS mais il en existe beaucoup d'autres, avec des (...)

Wiki [Tuto/HowTo] [Ubuntu/Debian] Chiffrer ses volumes Glusterfs

0
25
sept.
2017

Introduction

Par défaut les communications de glusterfs-server et de glusterfs-client ne sont pas chiffrées. Glusterfs peut néanmoins utiliser TLS (ex SLL) pour chiffrer les communications et casser ainsi toute tentative de MITM.
Ensemble, nous allons voir comment.

Note : Pour une raison inconnue (Ré-installation d'un des node? Bug après un reboot?), il peut arriver que les certificats TLS expirent. Vous vous retrouverez avec des "State: Peer in Cluster (Disconnected)" lorsque vous lancez la commande "gluster peer (...)

Journal À quand l'HTTPS par défaut sur LinuxFR ?

29
14
fév.
2017

Bonjour'nal

Jusqu'à présent pour mouler sur LinuxFR de manière sécurisée avec mon copain TLS on est obligé d'utiliser les services de l'EFF, on est maintenant en 2k17 et ça nous déçois un peu…
Administrateurs, si vous nous lisez ne voulez-vous pas déposer une petite redirection 301 de http://linuxfr.org vers https://linuxfr.org ?

Si non, voulez-vous bien éclairer ma lanterne fort cabossée ? Qu'est-ce qui serait limitant pour forcer HTTPS aujourd'hui ?

La bise.

Forum Linux.général Let's encrypt et plusieurs serveurs sur la même IP

Posté par . Licence CC by-sa.
0
6
nov.
2016

Je cherche un moyen de certifier des certificat TLS avec cette m…. de Let's encrypt.
Trois serveurs se trouvent sur la même IP publique et un seul des trois (qu'on nommera server1) occupe les ports publique 80/443.

Donc la grande question : comment certifier les certificat de server2 et server3 alors que let's encrypt ne permet PAS de choisir d'autres ports que les deux principaux des 4 ports web (car oui, même 8080 et 8443 ne sont pas autorisé, oh (...)

Journal Le Directeur général de Comodo à propos de la marque déposée "Let's Encrypt"

Posté par (page perso) . Licence CC by-sa.
25
24
juin
2016

Il semblerait que Comodo essaye de récupérer la marque "Let's Encrypt"
https://letsencrypt.org//2016/06/23/defending-our-brand.html

Sur le Forum de la boîte, le Directeur général se défend, et c'est assez fou:
"Why are they copying our business model of 90 day free ssl is the question!"

En gros, ils leur reprochent d'avoir choisi une durée de vie de 90 jours pour leurs certificats arguant que c'était une innovation de Comodo:
- "We invented the 90 day free ssl"
- "So they are admitting they (...)

Journal Petites news dans le monde des autorités de certifications

Posté par .
39
18
juin
2016

Problème de sécurité chez letsencrypt

En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.
https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025

Nouveau nom du client letsencrypt

Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse (...)

Forum Linux.debian/ubuntu OpenVpn error connectivité au serveur

Posté par . Licence CC by-sa.
0
10
mar.
2016

Bonjour à tout un chacun !!!

S'il vous plait j'ai un soucis avec openvpn j'ai installé le serveur completement et j'ai crée les certificats pour la machine cliente et j'ai configuré le fichier client après tout cela si je lance le client avec cette commande
openvpn /etc/openvpn/client.conf j'ai cette erreur

Thu Mar 10 09:40:02 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Thu Mar 10 09:41:04 2016 TLS Error: TLS handshake failed
Thu (...)

Reparlons de Let’s Encrypt

Posté par (page perso) . Édité par Davy Defaud, Trollnad Dump, ZeroHeure, Benoît Sibaud, Xavier Teyssier et Nÿco. Modéré par ZeroHeure. Licence CC by-sa.
82
24
fév.
2016
Sécurité

Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.

En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).

Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.