ROCA : l'autre grosse faille qui passerait presque inappercue

Avez-vous entendu parler de krack attack ? Oui ! Avez-vous entendu parler de ROCA ? Peut-être pas. Bien qu’éclipsée par l’actualité chargée de cette semaine, cette faille est pourtant monumentale. Elle concerne l’implémentation du protocole RSA par Infineon, un constructeur de TPM et un éditeur de bibliothèque RSA. Les clés ayant été générées par un équipement utilisant Infineon sont vulnérables. Cela concerne notamment Bitlocker, les certificats TLS, PGP ou SSH. »

Les types de certificats TLS

Depuis l’arrivé de Let’s Encrypt, chaque propriétaire de site peut obtenir gratuitement un certificat TLS valide – je parle volontairement de TLS et pas de SSL qui est un protocole abandonné depuis des années et à bannir ! Oui mais ces certificats sont basiques, ils ne garantissent pas l’authenticité du fournisseur de contenu de manière très sûre.   Pour un blog : DV Ces certificats de validation de domaine (DV) sont suffisant pour garantir la confidentialité de la grande majorité des sites mais pas les sites sur lesquels vous faites transiter des informations sensibles, par exemple les cartes de crédits. »

Rouler en classe A avec Apache

Cet article est en miroir par rapport à l’article sur Nginx : apprenons à avoir de bonnes notes avec Mozilla Observatory et SSLLabs. On va bien sûr partir du site SSL Configuration Generator, la référence. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. A partir de là, on va ajouter les headers pour faire plaisir à Mozilla et les exigences de sécurité TLS pour faire plaisir à SSLLabs. »

Rouler en classe A avec Nginx

La fondation Mozilla a beaucoup travaillé ces derniers temps sur l’amélioration de la sécurité du Web. Pour les sysadmins, le site SSL Configuration Generator est génial car il vous permet d’obtenir une configuration sécurisée de votre serveur Web. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. Sauf que ce n’est pas encore suffisant pour protéger les utilisateurs des principales failles Web comme XSS, par exemple. »

Let's encrypt : Le chiffrement pour tous

Let’s encrypt est un projet d’autorité de certification menée par la fondation Mozilla, Akamai, l’EFF et Cisco. Le but est de proposer à tout le monde des certificats signés par une autorité de certification reconnue pour pousser vers un chiffrement plus massif du Net. Même si SSL est mieux que de ne pas chiffrer du tout, il pose certains problèmes très bien décris par Stéphane Bortzmeyer. Le protocole SSL/TLS permet de garantir au moins deux choses : »

Pour en finir avec Poodle

Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition. Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS. Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.   Apache SSLProtocol All -SSLv2 -SSLv3 Tomcat v7 Dans $TOMCAT_HOME/conf/server.xml »

Tutoriel NGinx #1 : Site web sécurisé avec SSL

Tutoriel : Sécuriser Nginx avec SSL   I- Création d’un certificat auto-signé sous Debian : Commençons par installer OpenSSL : apt-get install openssl Ensuite, on va tout mettre dans un sous répertoire de NGinx nommé keys : mkdir /etc/nginx/keys cd /etc/nginx/keys Et puis on va générer une clé RSA de 1024 bits : openssl genrsa -out server.key 1024 A partir de cette clé, nous allons créer un certificat générique pour notre organisation : »

Serveur Mail sous Linux

Comment configurer un serveur de mail sous Linux. Documentation avec Postfix, Courier-pop, Courier-imap et roundcube avec et sans SSL. C’est par ici. Sur le même sujet : ROCA : l’autre grosse faille qui passerait presque inappercue Créer un modèle de container LXC/Proxmox Containers : Docker et la concurrence »

Apache : Site sécurisé par SSL

Comment créer un site sécurisé au moyen d’un certificat auto-signé sur un hôte virtuel Apache. C’est par ici. Sur le même sujet : ROCA : l’autre grosse faille qui passerait presque inappercue Créer un modèle de container LXC/Proxmox Ah si j’avais eu Ansible »