Tls

Avez-vous entendu parler de krack attack ? Oui ! Avez-vous entendu parler de ROCA ? Peut-être pas. Bien qu’éclipsée par l’actualité chargée de cette semaine, cette faille est pourtant monumentale. Elle concerne l’implémentation du protocole RSA par Infineon, un constructeur de TPM et un éditeur de bibliothèque RSA. Les clés ayant été générées par un équipement utilisant Infineon sont vulnérables. Cela concerne notamment Bitlocker, les certificats TLS, PGP ou SSH. »

Depuis l’arrivé de Let’s Encrypt, chaque propriétaire de site peut obtenir gratuitement un certificat TLS valide – je parle volontairement de TLS et pas de SSL qui est un protocole abandonné depuis des années et à bannir ! Oui mais ces certificats sont basiques, ils ne garantissent pas l’authenticité du fournisseur de contenu de manière très sûre.   Pour un blog : DV Ces certificats de validation de domaine (DV) sont suffisant pour garantir la confidentialité de la grande majorité des sites mais pas les sites sur lesquels vous faites transiter des informations sensibles, par exemple les cartes de crédits. »

Cet article est en miroir par rapport à l’article sur Nginx : apprenons à avoir de bonnes notes avec Mozilla Observatory et SSLLabs. On va bien sûr partir du site SSL Configuration Generator, la référence. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. A partir de là, on va ajouter les headers pour faire plaisir à Mozilla et les exigences de sécurité TLS pour faire plaisir à SSLLabs. »

Si vous n’avez encore jamais joué avec OpenVPN et que vous manquez de moustache, il se peut que vous vous y cassiez les dents. La bête est difficile à maîtriser.   Alors, ce que je vous propose dans cet article, c’est d’utiliser l’outil clé en main fourni en container Docker par Kyle Manna.   En pré-requis, vous devez avoir un Docker installé sur votre machine.   Installation et auto-configuration :   »

La fondation Mozilla a beaucoup travaillé ces derniers temps sur l’amélioration de la sécurité du Web. Pour les sysadmins, le site SSL Configuration Generator est génial car il vous permet d’obtenir une configuration sécurisée de votre serveur Web. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. Sauf que ce n’est pas encore suffisant pour protéger les utilisateurs des principales failles Web comme XSS, par exemple. »

Let’s encrypt est un projet d’autorité de certification menée par la fondation Mozilla, Akamai, l’EFF et Cisco. Le but est de proposer à tout le monde des certificats signés par une autorité de certification reconnue pour pousser vers un chiffrement plus massif du Net. Même si SSL est mieux que de ne pas chiffrer du tout, il pose certains problèmes très bien décris par Stéphane Bortzmeyer. Le protocole SSL/TLS permet de garantir au moins deux choses : »

Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition. Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS. Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.   Apache SSLProtocol All -SSLv2 -SSLv3 Tomcat v7 Dans $TOMCAT_HOME/conf/server.xml »