Des certificats SSL gratuit et valide pour vos sites web

Bijour à tous … [cet article est une pub ^^]

Long discours qui sert à rien : Pour ce long week-end, pas grand-chose de nouveau sur le site, si ce n’est la migration vers un serveur dédié (RPS d’OVH) du blog et du site web (l’accès devenait trop laborieux, que ce soit depuis webhost ou redby, pour l’un le serveur http était à la ramasse, et pour l’autre, le serveur de base de données était surchargé et maintenant, j’ai tous mes sites sur un seul et même serveur, ce qui est plus simple pour administrer la chose ;)).

J’ai profité de la migration du serveur pour revoir un peu la sécurité du blog, et en particulier l’utilisation des certificats (l’auto-signé n’étant pas très sécurisé) , j’ai donc cherché (pas trop longtemps … merci google) un PKI gratuit qui fournit des certificats SSL pour les sites web (mais aussi pour valider son identité via du x509 et pas mal d’autres services intéressant sont gratuits, bien sûr pour des chiffrements plus élevé et des options plus importantes du genre les ssl en wildcard et … faut s’y attendre, c’est plus gratuit mais bon ;)).

Donc voilà, si ça vous intéresse, le chiffrement proposé est plutôt moyen (de l’AES 256), mais il n’y a pas a confirmer d’exception de sécurité (Note du 14 : Le certificat n’est pas valide sur IE et chrome) … ce qui est sympa, mais il parait qu’il faut faire vérifier le domaine tous les mois par le PKI ce qui peut être lourd à la longue …

Niveau configuration, startssl explique très bien comment installer la chose par ici

Sinon, pour faire simple la mienne ressemble à ça :
[pre lang= »bash »]
DocumentRoot /var/www/blog
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.ca.crt
SSLCACertificateFile /etc/apache2/cert/ca.crt
SetEnvIf User-Agent « .*MSIE.* » nokeepalive ssl-unclean-shutdown
CustomLog /var/log/apache2/ssl_request.log \
« %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \ »%r\ » %b »

[/pre]

Ensuite, il faut forcer le chiffrement de certaine partie du site … via un sympatique htaccess qui tire cette tête pour du wordpress (j’ai pas forcé le chiffrement pour les commentaires …) :

[pre lang= »bash »]

RewriteCond %{HTTPS} off
RewriteRule ^wp-admin(.*) https://%{SERVER_NAME}/wp-admin$1 [R,L]
RewriteCond %{HTTPS} off
RewriteRule ^wp-login.php(.*) https://%{SERVER_NAME}/wp-login.php$1 [R,L]

[/pre]

Voilà amusez-vous bien … et vive le chiffrement 😉

Tunnel SSH via le protocole DNS

Plop …

Je suis en forme ce week-end :p (mon 4ème post … un record, quoique pour un simple lien et un petit spitch …).

Donc voilà … tous le monde connait les hotspots wifi … souvent, il faut s’inscrire voir payer les accès, mais souvent aussi, on a accès à certain services sans restriction, genre … taadaaa : le service DNS (c’était téléphoné vu le titre ^^), et la plupart du temps, la restriction des accès est faites après la résolution DNS dans ce cas c’est gagné vous pourrez joyeusement contourner la sécurité et accéder à un serveur SSH (et donc un accès illimité au net) via ce superbe tuto … en anglais.

Pour ceux qui n’ont pas envie de lire de l’anglais (ou qui préfère rester sur mon blog ;)) :

Tout d’abord … il vous faut :

  • Un nom de domaine
  • Un serveur DNS
  • Un serveur SSH
  • (D’une autre machine si vous n’utilisez pas le proxy D’Ozyman sur la machine qui héberge le SSH, … ça en fait des choses à utiliser ^^)

Sur le serveur DNS :

Il faut installer les paquets perl suivant :

apt-get install liblwp-protocol-socks-perl libnet-dns-perl libmime-base32-perl

Il faut une config du genre (comme je repique le lien, autant repiquer l’exemple ^^) :

ihaztunnel.room362.com IN NS mubixpwnsyour.homedns.org

ihaztunnel.room362.com est l’hôte sur lequel on ce connecte

mubixpwnsyour.homedns.org est le serveur OzymanDNS sur lequel on lance la commande :

./nomed.pl -i 0.0.0.0 ihaztunnel.room362.com

Qui aura pour effet d’écouter sur le port 53 (donc faut pas héberger le serveur DNS sur la même machine … on peut passer par Xname.org qui s’occupe très bien de cette tâche).

Sur le client :

ssh -D 8080 -C -o ProxyCommand=”/dossier/vers/ozymandns/droute.pl whatever.ihaztunnel.room362.com” room362.com

Petite explication sur la sympathique commande :

  • -D 8080 aura pour effet d’écouter sur le port 8080 du client
  • -c pour la compression, histoire d’aller plus vites 😉
  • “-o ProxyCommand=…” execute le sympatique script qui permet le tunneling
  • whatever.ihaztunnel.room362.com … le whatever est à remplacer par ce que vous voulez …
  • room362.com est le nom (ça peut-être une IP) qui va « tunneler » le traffic

Ensuite, il suffit de configurer vos logiciels pour utiliser le proxy 😉 Si vous préférez les vidéos

C’était Albanel qui disait : « C’est très difficile de pirater avec des bornes de wifi collectives. » Des commentaires ?? :p

Ubuntu beta …

Bijour …

Un rapide retour sur la bêta d’ubuntu que j’utilise fièrement depuis 1 semaine (sans bugs ni crashs), cette fois-ci, ils l’ont pas mal réussi (la dernière était plus chaotique 😉 et encore j’étais passé en bêta 2 semaines avant la RC ^^).

Coté nouveautés je vais pas les lister, tous le monde les connaîent

Pour ma part, deux choses qui ne fonctionnaient pas sous 8.10 fonctionnent désormais sur la 9.04, à savoir :

  • La WebCam (une BisoCam 2.0 en USB !!!) reconnu d’office et qui marche sans broncher, si c’est pas la classe
  • L’hibernation qui plantait ma atheros au redémarrage (avec une petite modification : echo ‘SUSPEND_MODULES= »ath_pci »‘>>/etc/pm/config.d/madwifi).

Donc voilà, plus de modules et plus de compatibilité, comme à chaque release, c’est sympa.

Sinon, un truc sympa pour ceux qui utilisent windows : Ubuntu Portable

Autre liens intéressants

[HADOPI] Un truc auxquels certains n’avaient pas pensé : les abonnés ayant une IP dynamique (c’est écrit noir sur blanc ^^ faut avoir la même IP pendant les 6 mois :p)

[HADOPI toujours] Bluetouff qui qui joue les rebelles ^^ ici et (même si tous le monde connait ces techniques, en les mettant en liens un peu partout, on arrivera peut-être à faire tomber hadopi ;))

LA bourde de la semaine … trop forte Albanel (pas capable d’avoir son C2I)

Enfin … le poisson d’avril que j’ai bien aimé ^^ dans la lignée du poisson d’avril 2007 du même blog …