Post‐mortem de l’incident du 3 juin 2018

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud, ZeroHeure et Florent Zara. Modéré par Pierre Jarillon. Licence CC By‑SA.
50
5
juin
2018
LinuxFr.org

Beaucoup d’entre‐vous s’en sont rendus compte, le certificat X.509 utilisé par LinuxFr.org a expiré ce 3 juin 2018. Retour sur cet incident et sur le renouvellement de ce certificat dans la seconde partie de cette dépêche.

Journal DLFP hacké

Posté par  (site web personnel) . Licence CC By‑SA.
11
3
juin
2018

Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.

Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle (…)

Journal Vérification des certificats X.509 sur le point d'expirer

Posté par  . Licence CC By‑SA.
Étiquettes :
8
3
jan.
2018

Comme beaucoup, j'utilise Let's Encrypt.
J'ai pas mal automatisé le renouvellement avec acme-tiny, mais il me manque surtout le petit truc qui me dit quand le certificat n'est plus valide. Et si possible, avant que ça arrive.

C'est là : https://framagit.org/Glandos/lets_check

C'est simple. Éditez le script pour y mettre votre délai en jours, et vos noms d'hôtes, et lancez-le. S'il y a un problème, ça l'écrit. Si tout va bien, rien n'est écrit. C'est donc tout à fait (…)

Reparlons de Let’s Encrypt

Posté par  (site web personnel) . Édité par Davy Defaud, bubar🦥, ZeroHeure, Benoît Sibaud, Xavier Teyssier et Nÿco. Modéré par ZeroHeure. Licence CC By‑SA.
82
24
fév.
2016
Sécurité

Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.

En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).

Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.

Certification de clés PGP et CAcert à Paris le 20 avril 2015

Posté par  . Édité par Benoît Sibaud, Ontologia et bubar🦥. Modéré par ZeroHeure. Licence CC By‑SA.
9
15
avr.
2015
Sécurité

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

Journal Belgian Electronic Card

Posté par  . Licence CC By‑SA.
Étiquettes :
35
4
jan.
2015

Cher journal,

Récemment, j'ai renouvelé ma carte d'identité. Comme j'avais lu la très bonne dépêche sur les cartes OpenPGP et une puce qui tenait à ma carte d'identité, je me suis dit que c'était l'occasion de tester les certificats x509 inclus dedans. Au final, c'est une smartcard comme les autres1. Il faut dire que l'état fournit un middleware opensource qui est directement compatible avec le standard PKCS11. J'ai donc téléchargé les logiciels adéquats. Ainsi que opensc (…)

Journal La signature de code en Java

Posté par  . Licence CC By‑SA.
Étiquettes :
30
19
jan.
2014

Cher Journal,

Depuis quelques jours, Oracle a décidé d'interdire l'exécution des applets ne précisant pas leur nom d'application (Application-Name) dans le fichier de description MANIFEST.MF.

Bien entendu, un des sites qui est sous ta charge utilise des applets, l'éditeur de celle-ci a mis la clé sous la porte mais ça ne devrait pas t'arrêter: normalement, il suffit juste d'ajouter quelques lignes dans un fichier zip une archive jar.

Bien sûr, si tu pensais juste pouvoir modifier le fichier MANIFEST et (…)

Certificat SSL/TLS pour serveur web, HTTPS et problèmes associés

Posté par  (site web personnel) . Édité par Bruno Michel. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
37
6
juin
2013
LinuxFr.org

Les serveurs utilisent des certificats TLS (ex SSL) pour permettre des échanges chiffrés avec les navigateurs (éviter les écoutes, les modifications, protéger la vie privée, sécuriser des échanges financiers, permettre de vérifier que le serveur est le bon, etc.). Et donc soit on auto-certifie son propre certificat, soit on passe par une autorité de certification (ou une chaîne d'autorités).

Côté client, les autorités acceptées sont gérées soit par le navigateur (Firefox, Chrome, Opéra, un navigateur basé sur java…) et c'est alors spécifique au navigateur , soit le navigateur délègue ça au système (rekonq, konqueror, iceweasel…) et c'est alors spécifique au système.

LinuxFr.org utilise un même certificat sur les différents domaines gérés, dont les serveurs de production et de test, le serveur cache des images, ainsi que le gestionnaire de listes de diffusion. Ce certificat doit être mis à jour sous peu (le 7 juin). Et comme à chaque mise à jour, les mêmes questions vont revenir, c'est donc l'occasion de faire le point sur le sujet (dans la seconde partie de la dépêche).

Forum Linux.général Smartcard: état de l'art en 2012

Posté par  .
Étiquettes :
7
7
mai
2012

Bonsoir,

j'utilise un simili système de smartcard/token afin de stocker mes clés PGP (GPG) et SSH. Ce sytème est bien loin d'égaler, en terme de sécurité, les systèmes dédiés et spécialisés que sont les smartcard. J'aimerais donc franchir le pas et m'équiper mais j'ai bien du mal à connaître l'état de l'art actuellement.

Il semble exister pas mal de solutions et la mienne serait un mix de la OpenGPG card (qui permet de stocker clés GPG et SSH) et d'une (…)

Freelan : un nouveau venu dans le monde des VPN peer-to-peer

Posté par  (site web personnel) . Édité par Nÿco et Florent Zara. Modéré par Florent Zara. Licence CC By‑SA.
56
23
avr.
2012
Sécurité

Un nouveau venu fait son apparition dans le monde des VPN peer-to-peer sur Internet : Freelan. Ce logiciel libre licencié sous GPL permet d'établir un réseau VPN entre différents hôtes selon, au choix, un modèle peer-to-peer, client-serveur ou hybride. N'importe quelle topologie réseau est possible.

Plus de détails dans la suite de la dépêche