15 results for tags
ssl x
-
Let’s Encrypt : joies… et déceptions !
Un retour intéressant sur l'initiative Let’s Encrypt.Fri Dec 18 13:06:15 2015 - permalink -- https://blog.imirhil.fr/2015/12/12/letsencrypt-joie-deception.html
-
La faille Poodle exploitable avec TLS dans certains cas - Next INpact
TIens, je ne connaissais pas cette faille.Wed Dec 10 14:47:39 2014 - permalink -
D'après l'outil de test cité dans l'article, mon site est vulnérable à Poodle. Oups.
J'espère qu'OVH va faire le nécessaire !- http://www.nextinpact.com/news/91326-la-faille-poodle-exploitable-avec-tls-dans-certains-cas.htm
-
Hébergement SSL pour Facebook: webstyle
Que... QUOI ? C'est quoi cette connerie encore ?!Tue May 13 10:23:32 2014 - permalink -
Déjà au titre on se pose des questions et à la lecture de la page, on s'en pose encore plus !
"Un nombre croissant d’entreprise possède un site sur Facebook."
Un site... sur Facebook ? Foutage de gueule. Une page, oui, mais pas un site.
Le web n'est donc cantonné qu'à Facebook ?
Et puis c'est quoi cette histoire d'hébergement *SSL* sur Facebook à la fin ?! Ils hébergent quoi concrètement ? Facebook vient faire quoi là-dedans ? Ils gèrent une page FB au compte d'une entreprise ?!
Surtout que ce n'est pas donné : 90.- de frais d'installation + 180.- par année pour 300 malheureux Mo (avec MySQL en option pour 90.-/an).
Ça fait cher le "site" Facebook quand même...- http://www.webstyle.ch/fr/prestations/web-hosting/hebergement-SSL-pour-Facebook.php
-
OpenSSL est mort, vive (le futur) LibreSSL
Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oOWed Apr 23 14:47:21 2014 - permalink -- https://linuxfr.org/users/rakoo/journaux/openssl-est-mort-vive-le-futur-libressl
-
Debian and CAcert
Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).Tue Apr 22 10:33:19 2014 - permalink -
Pourquoi ? Un sombre complot des autorités payantes ?
Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).
Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.- https://lwn.net/Articles/590879/
-
Heartbleed, une semaine plus tard | Sam & Max: Python, Django, Git et du cul
Petit compte rendu sur la fameuse faille OpenSSL.Tue Apr 15 15:05:50 2014 - permalink -- http://sametmax.com/heartbleed-une-semaine-plus-tard/
-
Faille Heartbleed : clés privées compromises !
Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).Sun Apr 13 10:34:13 2014 - permalink -
Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !
Voici quelques liens pour étayer mes propos :
- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389
Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)- ?wy6O9Q
-
Heartbleed : faut-il changer ses mots de passe ? (maj)
Certes, mais faut-il encore que la faille ait été exploitée !Sat Apr 12 11:26:12 2014 - permalink -
EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : http://links.kevinvuilleumier.net/?wy6O9Q- http://pro.clubic.com/it-business/securite-et-donnees/actualite-695520-heartbleed-changer-mots.html?utm_content=bufferbc8ee&utm_medium=social
-
Heartbleed : petit best of des journalistes - LinuxFr.org
Du gros n'importe quoi -_-Fri Apr 11 12:53:58 2014 - permalink -
Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !
Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."- http://linuxfr.org/users/perdu/journaux/heartbleed-petit-best-of-des-journalistes
-
Test your server for Heartbleed (CVE-2014-0160)
Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).Wed Apr 9 15:52:01 2014 - permalink -
Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.- http://filippo.io/Heartbleed/
-
Sécuriser son site Web avec SSL et configurer un accès HTTPS gratuit
Ou comment obtenir un certificat SSL gratuit qui sera valide dans le navigateur. Évidemment, ça ne remplace pas un "vrai" certificat si vous traitez des données sensibles ou devez fournir certaines preuves de qualité, mais ça suffira pour 99% des utilisateurs.Thu Feb 20 18:03:57 2014 - permalink -
Le vrai problème, c'est de mettre en place le certificat obtenu dans un hébergement mutualisé... beaucoup font payer ce service, car il requiert d'avoir une adresse IP unique par site. Chez OVH, c'est malheureusement 50€/an...- http://www.partage-it.com/securiser-son-site-ssl-https-gratuit-plesk/
-
OFIT : Office Fédéral des InTrustés
OK, je résume : la Suisse, ou plutôt l'Office fédéral de l'informatique et de la télécommunication (OFIT), possède son propre CA (Certificate Authority) pour signer ses certificats. Le problème, c'est qu'il n'est reconnu que par Microsoft et Apple. Soit bien peu de monde...Fri Nov 1 17:26:54 2013 - permalink -
Il faut savoir que Mozilla refuse de l'accepter dans Firefox depuis... 2008 ! Les raisons d'un tel refus ? Mozilla estime que l'OFIT a une pratique légèrement dangereuse (plus de détails dans l'article). Oups.
Pourtant, aucun des sites signés par la CA ne soulève d'alertes dans le navigateur Firefox ?! Ce miracle est possible parce qu'ils ont décidé de contourner le problème en le faisant valider par un autre organisme. Sans compter le fait que les certificats expirent demain et qu'ils n'auront jamais le temps de tous les changer. Un beau bordel.- https://www.swisstengu.ch/blog/post/397
-
Le chiffrement SSL, inutile face à la NSA? | Tuxicoman
C'est vrai qu'avec les autorités de certification qui sont inclues de base, la substitution des certificats légitimes n'est pas un problème pour une agence telle que la NSA.Thu Jul 4 11:31:11 2013 - permalink -
Heureusement, il existe des extensions pour les principaux navigateurs qui permettent de lever une alerte si un certificat a changé.
En temps que développeur, si vous communiquez en SSL/TLS, n'oubliez pas de vérifier le fingerprint ! Un collègue de classe a réussi à faire un MITM SSL d'une application, car celle-ci ne vérifiait pas si c'était le bon certificat !- http://tuxicoman.jesuislibre.net/2013/06/le-chiffrement-ssl-inutile-face-a-la-nsa.html
-
Qualys SSL Labs - Projects / SSL Server Test
Ce site permet de tester la qualité des certificats SSL d'un domaine.Thu Jun 27 15:30:33 2013 - permalink -
Via : http://sebsauvage.net/links/?0yAWFQ- https://www.ssllabs.com/ssltest/index.html
-
Un service web teste les préférences de cryptage de votre navigateur
A garder sous le coude !Mon Apr 1 20:58:36 2013 - permalink -- http://www.developpez.com/actu/53537/Un-service-web-teste-les-preferences-de-cryptage-de-votre-navigateur-et-fournit-toutes-ces-informations/