Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013)

Posté par  (site web personnel) . Édité par Nils Ratusznik et NeoX. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
47
25
nov.
2013
LinuxFr.org

En ces temps de PRISM/NSA et autres grandes oreilles, et aussi parce que c'est techniquement intéressant, nous essayons d'avoir sur LinuxFr.org des configurations pertinentes au niveau sécurité (pour nos serveurs et pour vos données genre adresses de courriel). Vous trouverez ci-dessous un petit statut de l'existant et les pistes d'améliorations, et nous sommes bien entendu ouverts à vos propositions sur le sujet.

Au sommaire, d'abord un descriptif de ce qui est commun à nos différents serveurs, puis les spécificités de chacun et quelques questionnements pour ouvrir le sujet.

Journal Quad9, résolveur DNS public, et sécurisé par TLS

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
42
16
nov.
2017
Ce journal a été promu en dépêche : Quad9, résolveur DNS public, et sécurisé par TLS.

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd'hui. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS mais il en existe beaucoup d'autres, avec des (…)

Sortie de SFLphone 1.4.0 - Softphone libre pour GNU/Linux

Posté par  (site web personnel) . Édité par Nÿco, Xavier Teyssier, Florent Zara et palm123. Modéré par rootix. Licence CC By‑SA.
Étiquettes :
42
23
juil.
2014
Linux

L’équipe de développement de SFLphone, client de téléphonie sur internet (User Agent SIP/IAX2), pour GNU/Linux vient d'annoncer la sortie de la nouvelle version 1.4.0. En 2005, Savoir-faire Linux lance le projet de développement d'un softphone : SFLphone. SFLphone est une application libre de téléphonie par Internet, sous licence publique générale GNU version 3, conçue pour fonctionner sur les systèmes d'exploitation GNU/Linux. Elle a été pensée pour les entreprises mais peut être utilisée par tous.

sflphone

Ce logiciel dispose de fonctionnalités très performantes en téléphonie IP, comme le support des conférences, plusieurs codecs haute définition, et la prise en charge des principaux protocoles de chiffrement des communications (TLS, SRTP/ZRTP). Il permet aussi de diffuser en temps réel plusieurs types de flux vidéo ou de fichiers image et d’activer le partage d’écran en cours d’appel. Il représente aujourd'hui une alternative de plus en plus crédible à Skype.

Quad9, résolveur DNS public, et sécurisé par TLS

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud, ZeroHeure, Florent Zara, Nils Ratusznik et Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
41
17
nov.
2017
Internet

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd’hui. C’est un résolveur DNS public, mais dont l’originalité est d’être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, le lectorat de LinuxFr.org, étant très au fait du sujet, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS, mais il en existe beaucoup d’autres, avec des politiques et des caractéristiques techniques diverses. Notamment, tous (à l’exception de Cisco OpenDNS) sont non sécurisés : le lien entre vous et le résolveur est en clair, tout le monde peut écouter, et il n’est pas authentifié, donc vous croyez parler à Google Public DNS mais, en fait, vous parlez au tricheur que votre FAI a annoncé dans ses réseaux locaux.

GnuTLS ajoute le support de DTLS

Posté par  . Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
38
12
avr.
2011
C et C++

GnuTLS est une bibliothèque logicielle libre diffusée sous la licence LGPL 2.1 et plus et écrite en C et C++. GnuTLS implémente les protocoles réseau SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2. Ceux-là même utilisés par tous les navigateurs web quand vous surfez en HTTPS.

Une version majeure est en cours de développement, elle ajoute une implémentation du protocole DTLS et améliore la compatibilité avec OpenSSL.

Journal Petites news dans le monde des autorités de certifications

Posté par  .
Étiquettes :
38
18
juin
2016

Problème de sécurité chez letsencrypt

En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.
https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025

Nouveau nom du client letsencrypt

Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse (…)

Certificat SSL/TLS pour serveur web, HTTPS et problèmes associés

Posté par  (site web personnel) . Édité par Bruno Michel. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
37
6
juin
2013
LinuxFr.org

Les serveurs utilisent des certificats TLS (ex SSL) pour permettre des échanges chiffrés avec les navigateurs (éviter les écoutes, les modifications, protéger la vie privée, sécuriser des échanges financiers, permettre de vérifier que le serveur est le bon, etc.). Et donc soit on auto-certifie son propre certificat, soit on passe par une autorité de certification (ou une chaîne d'autorités).

Côté client, les autorités acceptées sont gérées soit par le navigateur (Firefox, Chrome, Opéra, un navigateur basé sur java…) et c'est alors spécifique au navigateur , soit le navigateur délègue ça au système (rekonq, konqueror, iceweasel…) et c'est alors spécifique au système.

LinuxFr.org utilise un même certificat sur les différents domaines gérés, dont les serveurs de production et de test, le serveur cache des images, ainsi que le gestionnaire de listes de diffusion. Ce certificat doit être mis à jour sous peu (le 7 juin). Et comme à chaque mise à jour, les mêmes questions vont revenir, c'est donc l'occasion de faire le point sur le sujet (dans la seconde partie de la dépêche).

Journal Tout le monde a bien activé TLS sur ses serveurs SMTP ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
34
20
fév.
2014

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (…)

Journal Predator files : surveillez les logs Certificate transparency sur vos domaines

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
34
7
oct.
2023

Le 5 octobre, le réseau de médias European Investigative Collaborations a publié les Predator Files (en), documentant la commercialisation d'outil de piratage et de cybersurveillance à destination d'états ou d'autorités pas toujours démocratiques, par l'Alliance Intellexa, animée notamment par l'entreprise française Nexa, le nouveau nom d'Amesys, mise en examen pour complicité de torture suite à la vente de logiciels espions au gouvernement de Mouammar Kadhafi il y a plus de 10 ans maintenant.

Dans le premier document d'analyse (en), le (…)

Journal Android < 7.1 va refuser les connections TLS certifiées par Let's Encrypt

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
34
23
déc.
2020

Hello,

En novembre dernier, Let's Encrypt a annoncé que ~ 33,4% utilisateurs d'Android (ceux dont la version Android est plus vieille que la 7.1.1) ne pourront plus se connecter aux sites webs et ressources Internet certifiées par leurs certificats.

En effet, ils ont noté à juste titre que le certificat racine DST Root X3 d'IdenTrust va expirer en septembre 2021.

Or, c'est ce certificat racine qui est utilisé pour signer le certificat intermédiaire Let's Encrypt Authority X3 de Let's (…)

Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
33
8
déc.
2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (…)

Journal Debug SSL/TLS avec OpenSSL - partie 1

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
30
21
juil.
2015

Si tu es en pleine session de dé/bug SSL/TLS, cet article peut t'éviter quelques désagréments ;-)

SSL Labs, l'incontournable

On ne le présente plus, le site de Qualys permet de tester la configuration de son serveur facilement avec une interface web bien faite. Le test permet d'avoir un rapport concernant les points suivants :

  • Authentification : validité du certificat (nom du site, période de validité…),
  • présence et validité de la chaîne de certificat (chain)
  • Protocoles disponibles (SSLv2, SSLv3, TLS 1.0 (…)

Journal À quand l'HTTPS par défaut sur LinuxFR ?

Posté par  . Licence CC By‑SA.
Étiquettes :
29
14
fév.
2017

Bonjour'nal

Jusqu'à présent pour mouler sur LinuxFR de manière sécurisée avec mon copain TLS on est obligé d'utiliser les services de l'EFF, on est maintenant en 2k17 et ça nous déçois un peu…
Administrateurs, si vous nous lisez ne voulez-vous pas déposer une petite redirection 301 de http://linuxfr.org vers https://linuxfr.org ?

Si non, voulez-vous bien éclairer ma lanterne fort cabossée ? Qu'est-ce qui serait limitant pour forcer HTTPS aujourd'hui ?

La bise.

Journal Public Key Pinning Extension for HTTP

Posté par  . Licence CC By‑SA.
Étiquettes :
27
18
avr.
2015

Cher journal,

En ces temps ou un certain nombre d'entre vous n'ont pas l'air d'avoir envie de tout partager avec leur gouvernement. Voici une annonce qui améliore un peu la sécurité du HTTPS. Tu n'es pas sans ignorer que le modèle actuel de TLS souffre un gros problème. N'importe quelle autorité de confiance peut signer un certificat pour n'importe quel domaine, même si le propriétaire actuel du nom de domaine a déjà demandé à une autre autorité de le faire (…)

Journal Le Directeur général de Comodo à propos de la marque déposée "Let's Encrypt"

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
25
24
juin
2016

Il semblerait que Comodo essaye de récupérer la marque "Let's Encrypt"
https://letsencrypt.org//2016/06/23/defending-our-brand.html

Sur le Forum de la boîte, le Directeur général se défend, et c'est assez fou:
"Why are they copying our business model of 90 day free ssl is the question!"

En gros, ils leur reprochent d'avoir choisi une durée de vie de 90 jours pour leurs certificats arguant que c'était une innovation de Comodo:
- "We invented the 90 day free ssl"
- "So they are admitting they (…)