Si j'utilise un certificat auto-signé sur mon serveur de messagerie, est-ce que ça va générer des erreurs chez les serveurs qui tentent de m'envoyer un mail ?
Dans le cas général, non. La plupart des serveurs de mail sont configurés pour ne pas exiger que le certificat du pair soit authentifié contre une liste de CA.
Après, c’est bien sûr à la discrétion de l’administrateur du serveur. Celui qui veut exiger des certificats « authentifiés » peut toujours le faire (smtp_tls_security_level = verify avec Postfix)… au risque de se couper de pas mal d’émetteurs.
En revanche, si tu utilises un certificat auto-signé, je t’encourage fortement à publier un enregistrement TLSA (et à signer ta zone DNS si ce n’est pas déjà fait). DANE est pris en charge par certains serveurs mails (dont Postfix, encore une fois).
L'auto-hébergement c'est quand c'est chez toi et que tu possèdes le matériel.
OK, pourquoi pas.
Sinon, c'est de l'hébergement classique.
En revanche il faudrait dans ce cas un autre terme pour désigner le cas où tu gères toi-même les services, tout en faisant héberger le matériel chez un fournisseur.
Sinon, ça laisse entendre qu’il n’y a que deux extrêmes possibles : l’auto-hébergement où tout est chez toi et tu fais tout toi-même, et « l’hébergement classique » (ou hébergement tout court) où tu délègues tout au fournisseur et ne fais rien toi-même.
Puis-je proposer « auto-administration » ou « auto-gestion » ?
dorénavant, c'est systemd qui allait gérer l'ensemble des cgroups.
Plus précisément, le gros changement à venir dans l’interface des cgroups est qu’un seul processus sera autorisé à manipuler directement les cgroups. Sur les systèmes où systemd est disponible, c’est lui qui s’en chargera.
Donc est-ce que ces manipulations ne risque pas de perturber notre PID 1 préféré ?
Pour l’instant, non. Et le jour où systemd prendra le contrôle de la hiérarchie des cgroups, les manipulations du genre de celles décrites ici seront toujours possible, seulement de manière différente : on ne manipulera plus des cgroups avec des commandes cg*, mais des slices avec une API propre à systemd.
Vu le nom du compte (+) c’est une entrée spéciale permettant d’utiliser des comptes utilisateurs déclarés dans un système NIS plutôt que directement dans /etc/passwd. Rien de méchant ou d’anormal a priori, sauf s’il n’était pas prévu d’utiliser NIS.
Et vous chères moules? Avez-vous le même problème (avec quelle version de scute, iceweasel, distrib et noyau) ?
J’ai remarqué pour ma part qu’en l’absence de carte OpenPGP, Scute sollicite le lecteur USB une fois par seconde, et ce jusqu’à ce qu’une carte soit insérée.
Pour le constater, tu peux ajouter l’option suivante dans le fichier de configuration de scdaemon ($HOME/.gnupg/scdaemon.conf) :
debug 1024
log-file /tmp/scdaemon.log
et relancer scdaemon. Voilà ce que j’observe alors dans ce fichier en lançant Firefox avec le plugin Scute (sans carte dans le lecteur) :
Et ainsi de suite jusqu’à ce que j’insère la carte dans le lecteur, après quoi Scute se calme et attend tranquillement qu’on fasse appel à lui.
C’est peut-être ce comportement de polling qui provoque la consommation excessive que tu observes. Cela dit, chez moi, je n’ai pas observé d’effets sur la consommation.
Pour info :
Slackware64 14.1
GnuPG 2.1.8
Scute 1.4.0 (patché par mes soins, mais rien qui affecterait le comportement décrit ci-dessus)
l’administrateur est déjà contraint de publier une chaîne de certificat contenant les certificats intermédiaires.
Euh, fournir toute la chaîne des certificats intermédiaires, il a toujours fallu le faire depuis le début, pour tous les clients et pas seulement les mobiles.
Si un site web fonctionne en HTTPS alors qu’il ne fournit que son propre certificat terminal sans aucun intermédiaire, c’est uniquement du fait d’un comportement particulier de certains navigateurs desktop (notamment Firefox via sa bibliothèque NSS), qui ajoutent dans un magasin dédié les certificats intermédiaires qu’ils rencontrent (sur les sites qui publient correctement leur chaîne).
C’est pratique pour l’administrateur distrait/fainéant qui ne fournit pas ses certificats intermédiaires, mais :
① ça ne marche que parce que d’autres sites, eux, fournissent correctement ces certificats ;
② ça ne marche que si l’utilisateur a préalablement visité au moins un site utilisant les mêmes intermédiaires ;
③ ça complique considérablement la tâche du navigateur, qui n’est pas supposé devoir reconstituer lui-même la chaine de confiance à partir de certificats intermédiaires glanés ici et là.
(Et je ne parle pas des sites dont l’administrateur ne s’est pas cassé la tête à déterminer une chaîne correcte et fournit une bonne dizaine de certificats intermédiaires en se disant « il y a sûrement les bons dans le tas, que les clients se dépatouillent avec »…)
Normalement, le certificat racine d’une autorité de certification est auto-signé : le certificat est signé par la clef privée correspondant à la clef publique annoncée dans le certificat, au lieu d’être signé par la clef privée d’une autorité supérieure comme pour un certificat « normal » (non-racine).
Pour que les certificats émis par cette autorité de certification soient acceptés par les navigateurs, il est donc nécessaire que leur certificat racine soit dans le magasin desdits navigateurs.
L’astuce de la « signature croisée » est de créer un autre certificat avec la même clef publique que le certificat racine, et de le faire signer par une autorité de certification pré-existante — ici, IdenTrust, dont le propre certificat racine est déjà dans les navigateurs.
Ainsi, les certificats émis par Let’s Encrypt auront une chaîne de confiance qui remontera jusqu’à la racine de IdenTrust et seront considérés valides. Le jour où le certificat racine de Let’s Encrypt sera ajouté aux magasins des navigateurs, la chaîne de confiance remontera jusqu’à ce certificat (créant une chaîne plus courte d’un maillon) et ne dépendra plus de IdenTrust.
C’est parce que Thunderbird n’accepte pas les certificats de gandi (mais Firefox oui, je ne cherche pas à comprendre…)
Rien à voir avec une différence de comportement entre Thunderbird et Firefox, c’est le serveur mail de Gozmail qui se comporte différement de leur serveur web.
Ni Firefox ni Thunderbird ne font confiance à Gandi, mais ils font confiance à Comodo, qui est le signataire de Gandi.
Le problème est que le serveur mail de Gozmail n’envoie que son propre certificat, et pas la chaîne de certificats intermédiaires permettant de remonter jusqu’à un certificat racine (celui de Comodo). C’est une mauvaise configuration du serveur.
J'utilise une espace fine insécable, et du coup j'ai vérifié ce que fait la Pléiade et le Traité d'harmonie théorique et pratique de Théodore Dubois — ouvrage, qui comme son titre le suggère, a été préparé par un punk typographe — et ces deux références de qualitay utilisent l'espace fine avant les deux points.
Je l’ai dit, ces règles varient. Et celle-là en particulier varie beaucoup. La version que j’ai proposée correspond à celle qu’il me semble avoir vu le plus souvent (et que j’utilise), mais j’ai aussi vu les deux extrêmes opposés, à savoir :
— une espace fine avant toutes les ponctuations doubles (y compris le deux-points), comme ce que tu rapportes donc ;
— une espace insécable inter-mots avant toutes les ponctuations doubles (et non pas seulement le deux-points).
Jean-Pierre Lacroux, lui, va encore un plus loin dans la tétrapilectomie en recommandant devant le deux-points une espace insécable légèrement plus petite que l’espace inter-mots mais tout de même plus grande que l’espace fine…
j'aimerais savoir si vous sauriez éclairer ma lanterne sur les spécificités typographiques de chez nous, et le genre de conseils qu'il faudrait ajouter - ou substituer - à ceux que donne le Butterick's Practical Typography pour les appliquer à du texte formé en langue française.
Pêle-mêle, quelques-unes des différences les plus importantes avec la typographie française :
— Les guillemets primaires sont les chevrons (« … »), parfois justement appelés guillemets français. Les guillemets anglais (double quotes) peuvent être utilisés comme guillemets de second niveau, pour introduire une citation à l’intérieur d’une citation. Le chevron ouvrant (resp. fermant) est suivi (resp. précédé) d’une espace fine insécable.
— Un tiret cadratin qui ouvre une incise est précédé d’une espace inter-mots et suivi d’une espace insécable ; inversement, le tiret qui ferme l’incise, le cas échéant, est précédé d’une espace insécable et suivi d’une espace inter-mots.
— Le deux-points (:) est précédé d’une espace insécable et suivi d’une espace inter-mots.
— Le point-virgule, le point d’exclamation et le point d’interrogation sont précédés d’une espace fine insécable et suivis d’une espace inter-mots. Par extension, il devrait probablement en être de même pour les caractères non-officiels comme le point d’exclarrogation (‽) ou le point d’ironie (⸮).
— Si l’espace fine insécable n’est pas disponible, elle peut être remplacée par une espace insécable inter-mots.
— Les énumérations utilisent des tirets cadratins ou demi-cadratins, non des bullets.
Ces règles peuvent varier d’un éditeur à l’autre ou d’un manuel de style à l’autre. Pour les explications les plus exhaustives que je connaisse sur ces règles et sur de nombreuses autres, il y a le Dictionnaire raisonné d’orthotypographie française de feu Jean-Pierre Lacroux.
Pour le chiffrement de mon disque dur j'utilise AES + Camellia simultanément
Attention, il n’est pas du tout garanti que la combinaison de deux algorithmes produise un algorithme plus sûr que chaque algorithme pris séparément. Ce genre de combinaison peut être susceptible à des attaques spécifiques, du type Meet-In-The-Middle (MITM).
De manière générale, une combinaison d’algorithmes doit être considérée comme un nouvel algorithme à part entière, qui doit être étudié en tant que tel avant de pouvoir se prononcer sur sa sécurité.
Donc, on revient au problème d'implémentation du HTTPS dans cette configuration…
Petite réflexion rapide (et sûrement foireuse, mais merci pour l’exercice).
Première solution : un certificat auto-signé par périphérique, avec sur le périphérique lui-même une étiquette mentionnant l’empreinte du certificat. À charge pour l’utilisateur, lorsque son navigateur tente de lui faire peur en lui criant que la connexion n’est pas authentifiée et qu’il va mourir, de vérifier que l’empreinte affichée par la navigateur correspond à celle collée sur le périphérique.
Éventuellement faire en sorte que le serveur web serve un en-tête HPKP dans l’espoir que le navigateur se souvienne du certificat et n’affiche pas l’avertissement à chaque fois (aucune garantie que ça marche cela dit, la spécification HPKP est muette sur le cas des certificats auto-signés).
Avantage : assez simple à mettre en place, a priori très sûr.
Inconvénients : suppose que le périphérique soit à proximité de l’utilisateur, et surtout que ce dernier prendra la peine de réellement vérifier l’empreinte (je dirais que tu as de la chance si 0.01% des utilisateurs le font) — à défaut tu auras du chiffrement opportuniste sans authentification.
Deuxième solution, plus coûteuse, plus facile pour les utilisateurs mais pas plus sécurisée (plutôt moins en fait) : la société qui produit le périphérique obtient, de la part d’une autorité de certification reconnue, un certificat habilité à signer d’autres certificats (certificat intermédiaire) — attention, il faut payer cher pour ça. Ensuite, on utilise ce certificat pour signer les certificats de chaque périphérique.
Avantage : plus aucune alerte effrayante pour l’utilisateur, puisque le certificat du périphérique a une chaîne de confiance remontant jusqu’à une autorité connue.
Inconvénients :
(beaucoup) plus cher ;
entraîne la création de fait d’une nouvelle sous-CA dans la nature, comme s’il n’y en avait pas déjà assez ;
problèmes à prévoir si les périphériques ont une durée de vie supérieure à la période de validité du certificat intermédiaire du fabricant ;
et surtout, il n’y a plus réellement d’authentification — le client n’a aucunement l’assurance qu’il se connecte bel et bien au bon périphérique, il pourrait être en train de se connecter à n’importe quel serveur ayant un certificat valide.
Éric Filiol, celui qui pense que la plèbe ne doit protéger ses communications qu’avec des algorithmes spécialement conçus pour être cassable par les agences gouvernementales, ne veut plus utiliser les algorithmes approuvés par le gouvernement américain au motif qu’ils sont probablement conçus (d’après lui) pour être cassable par les agences américaines (en gros il reproche aux Américains d’avoir peut-être fait exactement ce que lui proposait), et il veut les remplacer par des algorithmes approuvés par le gouvernement russe ?
Tant qu’à faire à utiliser des algorithmes backdoorés par des puissances étrangères, il vaut mieux se faire avoir par les Russkoffs que par les Amerlocs, c’est ça ?
Sauf que « POSIX », c’est très vague quand tu veux identifier un système ou même une famille de système, vu que beaucoup d’OS sont conformes à POSIX (même si ce n’est pas officiel pour beaucoup d’entre eux, notamment pour… GNU/Linux, qui à ma connaissance n’a jamais fait l’objet d’une certification).
Si tu veux un critère formel : tout système dont le triplet de configuration, tel que déterminé automatiquement par le script config.guess par exemple, contient la mention « gnu ».
Par exemple sous Slackware :
./config.guess
x86_64-unknown-linux-gnu
Debian me donne exactement la même chose, de même que Fedora (à part le vendor qui est identifié comme « RedHat ») : x86_64-redhat-linux-gnu.
En revanche, voilà ce que me donnent des systèmes non-GNU :
FreeBSD : x86_64-unknown-freebsd
Mac OS X : x86_64-apple-darwin13.4.0
Windows Server 2008 avec Cygwin : x86_64-unknown-cygwin
On peut avoir l’impression que « Fedora n’a rien de GNU », ou que les distributions Linux se sont très écartées de leur base GNU et écartées les unes des autres… elles restent en réalité suffisamment proches pour qu’on puisse toutes les qualifier de « systèmes GNU » tout en les distinguant des autres systèmes Unix-like.
Les différences de système d’init, de serveur d’affichage ou d’autres composants de ce genre ne font pas des systèmes différents (sinon, est-ce qu’une Debian avec systemd constitue un OS à part entière différent d’une Debian avec sysv-init ?).
Les distributions Linux ne sont pas des projets GNU. Quand j’utilise une distribution Linux, je n’utilise pas le projet GNU.
Pour moi tu utilises un système GNU, la variante particulière assemblée par la distribution que tu as choisie.
Si c’est l’idée « d’Unix-like libre » qui est pertinent, pourquoi on ne dit pas GNU/FreeBSD ?
Je n’ai jamais dit que tous les projets de systèmes libres devraient faire référence au projet GNU, pour quelque raison que ce soit (y compris parce que ce serait le premier).
FreeBSD est un autre projet de système libre sans rapport avec GNU, parler de « GNU/FreeBSD » n’a aucun sens. Et témoigne encore une fois que cette nomenclature GNU/xyz est incomprise : il ne s’agit pas de lister les composants ou les inspirations du projet, mais de qualifier le système et le noyau qu’il utilise — ce qui n’est utile que dans le cas de GNU ou des systèmes dérivés, dont le noyau est interchangeable.
Une distribution Linux qui n’est aucunement basée sur GNU n’a absolument aucune raison d’être qualifiée de système GNU(/Linux) — c’est typiquement le cas d’Android par exemple.
Et pour répondre à une autre remarque dans un autre post :
Ubuntu serait donc une distribution Debian/GNU/Linux ?
Pour moi :
– « Ubuntu » est le nom de ce système précis ;
– c’est un système Debian ;
– et c’est un système GNU/Linux.
Nulle part je n’ai dit qu’une distribution devrait systématiquement faire apparaître dans son nom les projets sur lesquelles elle est bâtie… Quand je parle du système précis que j’utilise, je dis « Slackware », pas « GNU/Slackware ». Mais si on me demande de préciser ce que c’est, je dis que c’est un système GNU, pas que c’est un « système Linux » (puisque Linux n’est pas un OS).
Un autre point essentiel : putain de bordel de merde, si je dois citer toutes les briques décisives, le nom va être long. Ca va être digne d'une appellation malgache (pas d'offense pour les malgaches) : gnu/linux/qt/kde/rpm/gentoo/firefox/inkscape/gnomeoffice ?
J’ai l’impression de me répéter, mais il n’a jamais été question de « citer toutes les briques décisives ».
L’appellation « GNU/Linux » ne vient pas d’une volonté de citer la contribution (décisive ou pas, on s’en fout) de GNU, mais du fait que le projet initial de construire un système Unix-like entièrement libre, ce n’est pas le projet Linux, ce n’est pas le projet Qt, ce n’est pas le projet KDE, ce n’est pas le projet Firefox, etc. C’est le projet GNU.
Et si on précise /Linux derrière, ce n’est pas davantage parce que Linux est une pièce essentielle. C’est parce que GNU a été expressément conçu pour être indépendant d’un noyau particulier : coder GNU pour être dépendant d’un noyau précis aurait signifié imposer le choix d’un noyau propriétaire (bien obligé puisqu’il n’y avait pas de noyau libre à l’époque), et aurait obligé par la suite à porter GNU vers un noyau libre si et quand un tel noyau verrait le jour. Du coup, indiquer le nom du noyau est éventuellement pertinent puisque GNU est un système à noyau interchangeable (éventuellement parce que comme je le disais plus haut, Linux est le noyau de l’écrasante majorité des systèmes GNU, donc on peut se passer de cette précision à mon avis).
Je ne cherche pas à imposer ni « GNU » ni « GNU/Linux », je n’ai aucun problème avec ceux qui disent « Linux » tout court. Mais j’en ai assez de voir le pseudo-argument « on ne va pas citer tous les composants du système, putain de bordel de merde » avancé par ceux que l’appellation « GNU/Linux » dérange.
Aucun des projets que tu cites n’a pour objectif de fournir un système d’exploitation (non, même pas Systemd), ils n’en fournissent que des briques.
Certes, le projet GNU aussi ne fournit concrètement que des briques. Mais son objectif est bien de fournir un système d’exploitation complet. Le fait qu’il doive pour cela rassembler des pièces venues d’autres projets ne change rien à sa nature.
Sinon, devrait-on dire que Debian (le « système d’exploitation universel ») n’est pas un système d’exploitation, parce que ce projet ne fait que rassembler des briques tierces avec seulement quelques pièces qui lui sont propres ?
Android utilise GCC, on devrait donc dire GNU/Android :)
Ah bon, il faut indiquer le compilateur dans le nom du système ? On devrait dire MSVC/Windows ? :)
Plus sérieusement, si on dit GNU/Linux (pour ceux d’entre nous qui le disent), ce n’est pas parce que Linux est compilé avec ou utilise les outils GNU, c’est parce que GNU est le système et Linux le noyau.
Si on tient à appliquer cette logique à Android, on peut dire « Android/Linux »… mais c’est inutile, puisque pour autant que je sache, Linux est le seul noyau possible pour Android (contrairement à GNU qui depuis le début est indépendant d’un noyau précis), donc « Android » seul est non-ambigu et suffisant.
ceux qui réclamaient l'utilisation du terme Gnu/Linux au regard de l'importance des outils ont déjà du switcher vers Systemd/Linux ;)
Pour ma part, j’emploie GNU/Linux (sans pour autant réclamer que tout le monde fasse de même — be conservative in what you send, liberal in what you accept, tout ça) non pas au regard de « l’importance des outils » ou du nombre de lignes de code de chaque composant, mais simplement pour une raison historique : GNU précède Linux.
Peu importe que la part effective de code issu du projet GNU se résume aujourd’hui à quelques pourcents (je me fiche de savoir le nombre exact), il n’en demeure pas moins que c’est le projet GNU qui a initié l’idée d’un système entièrement libre.
En fait, je dis même de plus en plus souvent « GNU » tout court et plus GNU/Linux, parce que je ne vois pas vraiment de raison de préciser le noyau — à part les aventureux qui s’essayent à GNU/Hurd ou GNU/kFreeBSD, Linux est le noyau d’au moins 99% des systèmes GNU (je me remettrais peut-être à préciser GNU/Linux si/quand le noyau Hurd deviendra largement utilisé…).
je n’arrive pas à comprendre c’est quoi tout ce truc de « gérer la session utilisateur ».
Il suffit d’aller regarder la documentation de ConsoleKit (“a framework for keeping track of the various users, sessions, and seats present on a system“), le prédécesseur de logind :
# Refuser un courriel sans chiffrement
Posté par gouttegd . En réponse au journal Chiffrement de SMTP, une obligation?. Évalué à 7.
Oui. Pour Postfix :
pour refuser de transmettre un mail à un pair sans chiffrement, et similairement
pour refuser de recevoir un mail sans chiffrement.
À noter néanmoins que ce dernier cas est formellement interdit pour un serveur mail public par le RFC 3207 :
# starttls.info
Posté par gouttegd . En réponse au journal Chiffrement de SMTP, une obligation?. Évalué à 5.
Il y a starttls.info (moins complet que SSLLabs pour les serveurs web néanmoins… et qui ne prend pas davantage en charge DANE).
[^] # Re: Chiffrement opportuniste
Posté par gouttegd . En réponse au journal Chiffrement de SMTP, une obligation?. Évalué à 6.
Dans le cas général, non. La plupart des serveurs de mail sont configurés pour ne pas exiger que le certificat du pair soit authentifié contre une liste de CA.
Après, c’est bien sûr à la discrétion de l’administrateur du serveur. Celui qui veut exiger des certificats « authentifiés » peut toujours le faire (
smtp_tls_security_level = verifyavec Postfix)… au risque de se couper de pas mal d’émetteurs.En revanche, si tu utilises un certificat auto-signé, je t’encourage fortement à publier un enregistrement TLSA (et à signer ta zone DNS si ce n’est pas déjà fait). DANE est pris en charge par certains serveurs mails (dont Postfix, encore une fois).
[^] # Re: Auto-hébergement
Posté par gouttegd . En réponse à la dépêche Dégooglisons Internet, saison 2 : ils ne savaient pas que c'était impossible, alors ils l'ont fait !. Évalué à 6.
OK, pourquoi pas.
En revanche il faudrait dans ce cas un autre terme pour désigner le cas où tu gères toi-même les services, tout en faisant héberger le matériel chez un fournisseur.
Sinon, ça laisse entendre qu’il n’y a que deux extrêmes possibles : l’auto-hébergement où tout est chez toi et tu fais tout toi-même, et « l’hébergement classique » (ou hébergement tout court) où tu délègues tout au fournisseur et ne fais rien toi-même.
Puis-je proposer « auto-administration » ou « auto-gestion » ?
[^] # Re: et systemd ?
Posté par gouttegd . En réponse au journal Les cgroups, un outil trop méconnu. Évalué à 8.
Plus précisément, le gros changement à venir dans l’interface des cgroups est qu’un seul processus sera autorisé à manipuler directement les cgroups. Sur les systèmes où systemd est disponible, c’est lui qui s’en chargera.
Pour l’instant, non. Et le jour où systemd prendra le contrôle de la hiérarchie des cgroups, les manipulations du genre de celles décrites ici seront toujours possible, seulement de manière différente : on ne manipulera plus des cgroups avec des commandes cg*, mais des slices avec une API propre à systemd.
[^] # Re: j'ai un warning qui fait peur
Posté par gouttegd . En réponse au message Serveur Postfix envoi du spam. Évalué à 3.
Vu le nom du compte (
+) c’est une entrée spéciale permettant d’utiliser des comptes utilisateurs déclarés dans un système NIS plutôt que directement dans/etc/passwd. Rien de méchant ou d’anormal a priori, sauf s’il n’était pas prévu d’utiliser NIS.# Polling
Posté par gouttegd . En réponse au message Scute et consommation électrique . Évalué à 3.
Et vous chères moules? Avez-vous le même problème (avec quelle version de scute, iceweasel, distrib et noyau) ?
J’ai remarqué pour ma part qu’en l’absence de carte OpenPGP, Scute sollicite le lecteur USB une fois par seconde, et ce jusqu’à ce qu’une carte soit insérée.
Pour le constater, tu peux ajouter l’option suivante dans le fichier de configuration de scdaemon (
$HOME/.gnupg/scdaemon.conf) :et relancer scdaemon. Voilà ce que j’observe alors dans ce fichier en lançant Firefox avec le plugin Scute (sans carte dans le lecteur) :
Et ainsi de suite jusqu’à ce que j’insère la carte dans le lecteur, après quoi Scute se calme et attend tranquillement qu’on fasse appel à lui.
C’est peut-être ce comportement de polling qui provoque la consommation excessive que tu observes. Cela dit, chez moi, je n’ai pas observé d’effets sur la consommation.
Pour info :
[^] # Re: Cross-signed
Posté par gouttegd . En réponse au journal Le premier certificat SSL de Let's Encrypt. Évalué à 10.
Euh, fournir toute la chaîne des certificats intermédiaires, il a toujours fallu le faire depuis le début, pour tous les clients et pas seulement les mobiles.
Si un site web fonctionne en HTTPS alors qu’il ne fournit que son propre certificat terminal sans aucun intermédiaire, c’est uniquement du fait d’un comportement particulier de certains navigateurs desktop (notamment Firefox via sa bibliothèque NSS), qui ajoutent dans un magasin dédié les certificats intermédiaires qu’ils rencontrent (sur les sites qui publient correctement leur chaîne).
C’est pratique pour l’administrateur distrait/fainéant qui ne fournit pas ses certificats intermédiaires, mais :
① ça ne marche que parce que d’autres sites, eux, fournissent correctement ces certificats ;
② ça ne marche que si l’utilisateur a préalablement visité au moins un site utilisant les mêmes intermédiaires ;
③ ça complique considérablement la tâche du navigateur, qui n’est pas supposé devoir reconstituer lui-même la chaine de confiance à partir de certificats intermédiaires glanés ici et là.
(Et je ne parle pas des sites dont l’administrateur ne s’est pas cassé la tête à déterminer une chaîne correcte et fournit une bonne dizaine de certificats intermédiaires en se disant « il y a sûrement les bons dans le tas, que les clients se dépatouillent avec »…)
[^] # Re: Cross-signed
Posté par gouttegd . En réponse au journal Le premier certificat SSL de Let's Encrypt. Évalué à 7.
Normalement, le certificat racine d’une autorité de certification est auto-signé : le certificat est signé par la clef privée correspondant à la clef publique annoncée dans le certificat, au lieu d’être signé par la clef privée d’une autorité supérieure comme pour un certificat « normal » (non-racine).
Pour que les certificats émis par cette autorité de certification soient acceptés par les navigateurs, il est donc nécessaire que leur certificat racine soit dans le magasin desdits navigateurs.
L’astuce de la « signature croisée » est de créer un autre certificat avec la même clef publique que le certificat racine, et de le faire signer par une autorité de certification pré-existante — ici, IdenTrust, dont le propre certificat racine est déjà dans les navigateurs.
Ainsi, les certificats émis par Let’s Encrypt auront une chaîne de confiance qui remontera jusqu’à la racine de IdenTrust et seront considérés valides. Le jour où le certificat racine de Let’s Encrypt sera ajouté aux magasins des navigateurs, la chaîne de confiance remontera jusqu’à ce certificat (créant une chaîne plus courte d’un maillon) et ne dépendra plus de IdenTrust.
[^] # Re: rename is your friend
Posté par gouttegd . En réponse au message changer des noms de fichiers. Évalué à 3.
Euh, je ne sais pas quelle version de rename vous avez, mais chez moi, la syntaxe est
rename MOTIF REMPLACEMENT FICHIERS….Soit dans le cas qui nous intéresse :
Pour info :
[^] # Re: Autres alternatives
Posté par gouttegd . En réponse à la dépêche Nouvelles de ProtonMail : version 2.0, ouverture (partielle) du code et mobilité. Évalué à 9.
Rien à voir avec une différence de comportement entre Thunderbird et Firefox, c’est le serveur mail de Gozmail qui se comporte différement de leur serveur web.
Ni Firefox ni Thunderbird ne font confiance à Gandi, mais ils font confiance à Comodo, qui est le signataire de Gandi.
Le problème est que le serveur mail de Gozmail n’envoie que son propre certificat, et pas la chaîne de certificats intermédiaires permettant de remonter jusqu’à un certificat racine (celui de Comodo). C’est une mauvaise configuration du serveur.
[^] # Re: Le "Practical Typography" de Matthew Butterick, et son application aux usages français
Posté par gouttegd . En réponse au journal Typographie & logiciels. Évalué à 3.
Je l’ai dit, ces règles varient. Et celle-là en particulier varie beaucoup. La version que j’ai proposée correspond à celle qu’il me semble avoir vu le plus souvent (et que j’utilise), mais j’ai aussi vu les deux extrêmes opposés, à savoir :
— une espace fine avant toutes les ponctuations doubles (y compris le deux-points), comme ce que tu rapportes donc ;
— une espace insécable inter-mots avant toutes les ponctuations doubles (et non pas seulement le deux-points).
Jean-Pierre Lacroux, lui, va encore un plus loin dans la tétrapilectomie en recommandant devant le deux-points une espace insécable légèrement plus petite que l’espace inter-mots mais tout de même plus grande que l’espace fine…
[^] # Re: Le "Practical Typography" de Matthew Butterick, et son application aux usages français
Posté par gouttegd . En réponse au journal Typographie & logiciels. Évalué à 10.
Pêle-mêle, quelques-unes des différences les plus importantes avec la typographie française :
— Les guillemets primaires sont les chevrons (« … »), parfois justement appelés guillemets français. Les guillemets anglais (double quotes) peuvent être utilisés comme guillemets de second niveau, pour introduire une citation à l’intérieur d’une citation. Le chevron ouvrant (resp. fermant) est suivi (resp. précédé) d’une espace fine insécable.
— Un tiret cadratin qui ouvre une incise est précédé d’une espace inter-mots et suivi d’une espace insécable ; inversement, le tiret qui ferme l’incise, le cas échéant, est précédé d’une espace insécable et suivi d’une espace inter-mots.
— Le deux-points (:) est précédé d’une espace insécable et suivi d’une espace inter-mots.
— Le point-virgule, le point d’exclamation et le point d’interrogation sont précédés d’une espace fine insécable et suivis d’une espace inter-mots. Par extension, il devrait probablement en être de même pour les caractères non-officiels comme le point d’exclarrogation (‽) ou le point d’ironie (⸮).
— Si l’espace fine insécable n’est pas disponible, elle peut être remplacée par une espace insécable inter-mots.
— Les énumérations utilisent des tirets cadratins ou demi-cadratins, non des bullets.
Ces règles peuvent varier d’un éditeur à l’autre ou d’un manuel de style à l’autre. Pour les explications les plus exhaustives que je connaisse sur ces règles et sur de nombreuses autres, il y a le Dictionnaire raisonné d’orthotypographie française de feu Jean-Pierre Lacroux.
[^] # Re: Pas spécialement stressant
Posté par gouttegd . En réponse au journal Psychologie, science et reproductibilité. Évalué à 3.
Comme le Journal of Negative Results in Biomedicine ?
[^] # Re: De l'origine du nom
Posté par gouttegd . En réponse à la dépêche Podcast No Limit Secu : épisode sur GostCrypt. Évalué à 5.
Attention, il n’est pas du tout garanti que la combinaison de deux algorithmes produise un algorithme plus sûr que chaque algorithme pris séparément. Ce genre de combinaison peut être susceptible à des attaques spécifiques, du type Meet-In-The-Middle (MITM).
De manière générale, une combinaison d’algorithmes doit être considérée comme un nouvel algorithme à part entière, qui doit être étudié en tant que tel avant de pouvoir se prononcer sur sa sécurité.
[^] # Re: authent vs crypt
Posté par gouttegd . En réponse au message Authentification sécurisée sur un serveur en IP dynamique. Évalué à 2. Dernière modification le 20 août 2015 à 12:47.
Petite réflexion rapide (et sûrement foireuse, mais merci pour l’exercice).
Première solution : un certificat auto-signé par périphérique, avec sur le périphérique lui-même une étiquette mentionnant l’empreinte du certificat. À charge pour l’utilisateur, lorsque son navigateur tente de lui faire peur en lui criant que la connexion n’est pas authentifiée et qu’il va mourir, de vérifier que l’empreinte affichée par la navigateur correspond à celle collée sur le périphérique.
Éventuellement faire en sorte que le serveur web serve un en-tête HPKP dans l’espoir que le navigateur se souvienne du certificat et n’affiche pas l’avertissement à chaque fois (aucune garantie que ça marche cela dit, la spécification HPKP est muette sur le cas des certificats auto-signés).
Avantage : assez simple à mettre en place, a priori très sûr.
Inconvénients : suppose que le périphérique soit à proximité de l’utilisateur, et surtout que ce dernier prendra la peine de réellement vérifier l’empreinte (je dirais que tu as de la chance si 0.01% des utilisateurs le font) — à défaut tu auras du chiffrement opportuniste sans authentification.
Deuxième solution, plus coûteuse, plus facile pour les utilisateurs mais pas plus sécurisée (plutôt moins en fait) : la société qui produit le périphérique obtient, de la part d’une autorité de certification reconnue, un certificat habilité à signer d’autres certificats (certificat intermédiaire) — attention, il faut payer cher pour ça. Ensuite, on utilise ce certificat pour signer les certificats de chaque périphérique.
Avantage : plus aucune alerte effrayante pour l’utilisateur, puisque le certificat du périphérique a une chaîne de confiance remontant jusqu’à une autorité connue.
Inconvénients :
[^] # Re: De l'origine du nom
Posté par gouttegd . En réponse à la dépêche Podcast No Limit Secu : épisode sur GostCrypt. Évalué à 10.
Éric Filiol, celui qui pense que la plèbe ne doit protéger ses communications qu’avec des algorithmes spécialement conçus pour être cassable par les agences gouvernementales, ne veut plus utiliser les algorithmes approuvés par le gouvernement américain au motif qu’ils sont probablement conçus (d’après lui) pour être cassable par les agences américaines (en gros il reproche aux Américains d’avoir peut-être fait exactement ce que lui proposait), et il veut les remplacer par des algorithmes approuvés par le gouvernement russe ?
Tant qu’à faire à utiliser des algorithmes backdoorés par des puissances étrangères, il vaut mieux se faire avoir par les Russkoffs que par les Amerlocs, c’est ça ?
[^] # Re: FHS
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 2.
Sauf que « POSIX », c’est très vague quand tu veux identifier un système ou même une famille de système, vu que beaucoup d’OS sont conformes à POSIX (même si ce n’est pas officiel pour beaucoup d’entre eux, notamment pour… GNU/Linux, qui à ma connaissance n’a jamais fait l’objet d’une certification).
[^] # Re: Simplement garder à l'esprit
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 5.
Si tu veux un critère formel : tout système dont le triplet de configuration, tel que déterminé automatiquement par le script
config.guesspar exemple, contient la mention « gnu ».Par exemple sous Slackware :
Debian me donne exactement la même chose, de même que Fedora (à part le vendor qui est identifié comme « RedHat ») :
x86_64-redhat-linux-gnu.En revanche, voilà ce que me donnent des systèmes non-GNU :
x86_64-unknown-freebsdx86_64-apple-darwin13.4.0x86_64-unknown-cygwinOn peut avoir l’impression que « Fedora n’a rien de GNU », ou que les distributions Linux se sont très écartées de leur base GNU et écartées les unes des autres… elles restent en réalité suffisamment proches pour qu’on puisse toutes les qualifier de « systèmes GNU » tout en les distinguant des autres systèmes Unix-like.
Les différences de système d’init, de serveur d’affichage ou d’autres composants de ce genre ne font pas des systèmes différents (sinon, est-ce qu’une Debian avec systemd constitue un OS à part entière différent d’une Debian avec sysv-init ?).
[^] # Re: Simplement garder à l'esprit
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 5.
Pour moi tu utilises un système GNU, la variante particulière assemblée par la distribution que tu as choisie.
Je n’ai jamais dit que tous les projets de systèmes libres devraient faire référence au projet GNU, pour quelque raison que ce soit (y compris parce que ce serait le premier).
FreeBSD est un autre projet de système libre sans rapport avec GNU, parler de « GNU/FreeBSD » n’a aucun sens. Et témoigne encore une fois que cette nomenclature GNU/xyz est incomprise : il ne s’agit pas de lister les composants ou les inspirations du projet, mais de qualifier le système et le noyau qu’il utilise — ce qui n’est utile que dans le cas de GNU ou des systèmes dérivés, dont le noyau est interchangeable.
Une distribution Linux qui n’est aucunement basée sur GNU n’a absolument aucune raison d’être qualifiée de système GNU(/Linux) — c’est typiquement le cas d’Android par exemple.
Et pour répondre à une autre remarque dans un autre post :
Pour moi :
– « Ubuntu » est le nom de ce système précis ;
– c’est un système Debian ;
– et c’est un système GNU/Linux.
Nulle part je n’ai dit qu’une distribution devrait systématiquement faire apparaître dans son nom les projets sur lesquelles elle est bâtie… Quand je parle du système précis que j’utilise, je dis « Slackware », pas « GNU/Slackware ». Mais si on me demande de préciser ce que c’est, je dis que c’est un système GNU, pas que c’est un « système Linux » (puisque Linux n’est pas un OS).
[^] # Re: Simplement garder à l'esprit
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 9. Dernière modification le 13 août 2015 à 10:35.
J’ai l’impression de me répéter, mais il n’a jamais été question de « citer toutes les briques décisives ».
L’appellation « GNU/Linux » ne vient pas d’une volonté de citer la contribution (décisive ou pas, on s’en fout) de GNU, mais du fait que le projet initial de construire un système Unix-like entièrement libre, ce n’est pas le projet Linux, ce n’est pas le projet Qt, ce n’est pas le projet KDE, ce n’est pas le projet Firefox, etc. C’est le projet GNU.
Et si on précise /Linux derrière, ce n’est pas davantage parce que Linux est une pièce essentielle. C’est parce que GNU a été expressément conçu pour être indépendant d’un noyau particulier : coder GNU pour être dépendant d’un noyau précis aurait signifié imposer le choix d’un noyau propriétaire (bien obligé puisqu’il n’y avait pas de noyau libre à l’époque), et aurait obligé par la suite à porter GNU vers un noyau libre si et quand un tel noyau verrait le jour. Du coup, indiquer le nom du noyau est éventuellement pertinent puisque GNU est un système à noyau interchangeable (éventuellement parce que comme je le disais plus haut, Linux est le noyau de l’écrasante majorité des systèmes GNU, donc on peut se passer de cette précision à mon avis).
Je ne cherche pas à imposer ni « GNU » ni « GNU/Linux », je n’ai aucun problème avec ceux qui disent « Linux » tout court. Mais j’en ai assez de voir le pseudo-argument « on ne va pas citer tous les composants du système, putain de bordel de merde » avancé par ceux que l’appellation « GNU/Linux » dérange.
[^] # Re: On s'en fout ?
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 7.
Aucun des projets que tu cites n’a pour objectif de fournir un système d’exploitation (non, même pas Systemd), ils n’en fournissent que des briques.
Certes, le projet GNU aussi ne fournit concrètement que des briques. Mais son objectif est bien de fournir un système d’exploitation complet. Le fait qu’il doive pour cela rassembler des pièces venues d’autres projets ne change rien à sa nature.
Sinon, devrait-on dire que Debian (le « système d’exploitation universel ») n’est pas un système d’exploitation, parce que ce projet ne fait que rassembler des briques tierces avec seulement quelques pièces qui lui sont propres ?
[^] # Re: On s'en fout ?
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 9.
Ah bon, il faut indiquer le compilateur dans le nom du système ? On devrait dire MSVC/Windows ? :)
Plus sérieusement, si on dit GNU/Linux (pour ceux d’entre nous qui le disent), ce n’est pas parce que Linux est compilé avec ou utilise les outils GNU, c’est parce que GNU est le système et Linux le noyau.
Si on tient à appliquer cette logique à Android, on peut dire « Android/Linux »… mais c’est inutile, puisque pour autant que je sache, Linux est le seul noyau possible pour Android (contrairement à GNU qui depuis le début est indépendant d’un noyau précis), donc « Android » seul est non-ambigu et suffisant.
[^] # Re: [X] Lennarx
Posté par gouttegd . En réponse au sondage comment doit-on appeler les systèmes d'exploitation basés sur un noyau Linux ?. Évalué à 10.
Pour ma part, j’emploie GNU/Linux (sans pour autant réclamer que tout le monde fasse de même — be conservative in what you send, liberal in what you accept, tout ça) non pas au regard de « l’importance des outils » ou du nombre de lignes de code de chaque composant, mais simplement pour une raison historique : GNU précède Linux.
Peu importe que la part effective de code issu du projet GNU se résume aujourd’hui à quelques pourcents (je me fiche de savoir le nombre exact), il n’en demeure pas moins que c’est le projet GNU qui a initié l’idée d’un système entièrement libre.
En fait, je dis même de plus en plus souvent « GNU » tout court et plus GNU/Linux, parce que je ne vois pas vraiment de raison de préciser le noyau — à part les aventureux qui s’essayent à GNU/Hurd ou GNU/kFreeBSD, Linux est le noyau d’au moins 99% des systèmes GNU (je me remettrais peut-être à préciser GNU/Linux si/quand le noyau Hurd deviendra largement utilisé…).
[^] # Re: Tros gros mais ça passe, on est vendredi
Posté par gouttegd . En réponse au journal Comment mon expérience Linux est en train de tourner au fiasco. Évalué à 7.
Il suffit d’aller regarder la documentation de ConsoleKit (“a framework for keeping track of the various users, sessions, and seats present on a system“), le prédécesseur de logind :