Archives pour l'étiquette ssl

Certificat letsencrypt installation et renouvellement

Hello,
Suite à ma réinstallation, j’ai pu jouer un peu avec letsencrypt, et les outils de génération, installation et renouvellement de certificats sont tous simplement génial d’un point de vue administrateur système …

Tout est automatisé, on lance une ligne de commande, et l’on a son certificat, ainsi que la possibilité de les renouveller sans même avoir à y penser (plus besoin tout les x ans de renouveller ces certificats, avec le risque de les oublier et de se retrouver devant le fait accompli et de devoir mettre à jour les certificats à l’arrache …).

Continuer la lecture de Certificat letsencrypt installation et renouvellement

SSL, choix des suites de chiffrements, HSTS et co

Salut, à tous

Avec la NSA et les révélations de Snowden, on parle énormément de SSL et de HSTS, alors je m’y met aussi :).
Concernant ce qu’il y a à savoir sur les suites de chiffrements, je vous conseils cette vidéo, ou je fait un peu le tour des différentes étapes (échanges de clé, auth, chiffrements, …), ainsi qu’un rapide résumé sur les différentes attaques et leurs implications sur le protocole utilisé (tls 1.0, beast et les chiffrements CBC).

Continuer la lecture de SSL, choix des suites de chiffrements, HSTS et co

SSL via GNUTLS sur apache2

Plop à tous …

Aujourd’hui j’ai joué a « qui a la plus grosse » config ssl et c’est là que j’ai remarqué que le mod_ssl d’apache ne supportait que les protocoles SSLv3 et TLSv1.0 (le TLSv1.1 est en cours de dev) ce qui donnait un score pitoyable à mon blog sur ssllabs (qui permet d’avoir une idée du niveau de sécurité de l’implémentation ssl/tls d’un serveur web).


(Au passage certaine banques françaises en sont encore au niveau F, donc c’était déjà pas trop mal pour un blog ^^).

Continuer la lecture de SSL via GNUTLS sur apache2

Utiliser plusieurs certificats SSL sur un seul serveur apache

Plop à tous …

Le but de l’article du jour est d’utiliser plusieurs certificats SSL sur une même machine via le SNI (ce qui était impossible il y a quelques années de cela cf. wikipedia, le premier patch étant sorti en 2004, les premières implémentation sur les serveurs apache se sont fait sur la version 2.2.12 en Juillet 2009).
Continuer la lecture de Utiliser plusieurs certificats SSL sur un seul serveur apache

Des certificats SSL gratuit et valide pour vos sites web

Bijour à tous … [cet article est une pub ^^]

Long discours qui sert à rien : Pour ce long week-end, pas grand-chose de nouveau sur le site, si ce n’est la migration vers un serveur dédié (RPS d’OVH) du blog et du site web (l’accès devenait trop laborieux, que ce soit depuis webhost ou redby, pour l’un le serveur http était à la ramasse, et pour l’autre, le serveur de base de données était surchargé et maintenant, j’ai tous mes sites sur un seul et même serveur, ce qui est plus simple pour administrer la chose ;)).

J’ai profité de la migration du serveur pour revoir un peu la sécurité du blog, et en particulier l’utilisation des certificats (l’auto-signé n’étant pas très sécurisé) , j’ai donc cherché (pas trop longtemps … merci google) un PKI gratuit qui fournit des certificats SSL pour les sites web (mais aussi pour valider son identité via du x509 et pas mal d’autres services intéressant sont gratuits, bien sûr pour des chiffrements plus élevé et des options plus importantes du genre les ssl en wildcard et … faut s’y attendre, c’est plus gratuit mais bon ;)).

Donc voilà, si ça vous intéresse, le chiffrement proposé est plutôt moyen (de l’AES 256), mais il n’y a pas a confirmer d’exception de sécurité (Note du 14 : Le certificat n’est pas valide sur IE et chrome) … ce qui est sympa, mais il parait qu’il faut faire vérifier le domaine tous les mois par le PKI ce qui peut être lourd à la longue …

Niveau configuration, startssl explique très bien comment installer la chose par ici

Sinon, pour faire simple la mienne ressemble à ça :
[pre lang= »bash »]
DocumentRoot /var/www/blog
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.ca.crt
SSLCACertificateFile /etc/apache2/cert/ca.crt
SetEnvIf User-Agent « .*MSIE.* » nokeepalive ssl-unclean-shutdown
CustomLog /var/log/apache2/ssl_request.log \
« %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \ »%r\ » %b »

[/pre]

Ensuite, il faut forcer le chiffrement de certaine partie du site … via un sympatique htaccess qui tire cette tête pour du wordpress (j’ai pas forcé le chiffrement pour les commentaires …) :

[pre lang= »bash »]

RewriteCond %{HTTPS} off
RewriteRule ^wp-admin(.*) https://%{SERVER_NAME}/wp-admin$1 [R,L]
RewriteCond %{HTTPS} off
RewriteRule ^wp-login.php(.*) https://%{SERVER_NAME}/wp-login.php$1 [R,L]

[/pre]

Voilà amusez-vous bien … et vive le chiffrement 😉