33 private links
Lorsque votre certificat SSL est compromis (par exemple parce que sa clé privée a été volée), vous pouvez le révoquer, c'est-à-dire le signaler comme étant invalide et plus digne de confiance.
Mais comment le navigateur sait-il qu'un certificat est révoqué, car ce n'est pas une information que celui-ci contient ? Deux mécanismes existent : CRL et OCSP.
Cet article les présente ainsi que les problématiques liées.
ÉDIT : OCSP a depuis été déprécié en faveur de CRL : https://www.abetterinternet.org/post/replacing-ocsp-with-crls/
Lorsque vous achetez un certificat SSL, il n'est pas rare que des garanties, des assurances, soient proposées pour couvrir certains dommages pouvant résulter de mauvais usages. Quels usages ? Est-ce que ces assurances servent vraiment à quelque chose ?
Un retour intéressant sur l'initiative Let’s Encrypt.
TIens, je ne connaissais pas cette faille.
D'après l'outil de test cité dans l'article, mon site est vulnérable à Poodle. Oups.
J'espère qu'OVH va faire le nécessaire !
Que... QUOI ? C'est quoi cette connerie encore ?!
Déjà au titre on se pose des questions et à la lecture de la page, on s'en pose encore plus !
"Un nombre croissant d’entreprise possède un site sur Facebook."
Un site... sur Facebook ? Foutage de gueule. Une page, oui, mais pas un site.
Le web n'est donc cantonné qu'à Facebook ?
Et puis c'est quoi cette histoire d'hébergement SSL sur Facebook à la fin ?! Ils hébergent quoi concrètement ? Facebook vient faire quoi là-dedans ? Ils gèrent une page FB au compte d'une entreprise ?!
Surtout que ce n'est pas donné : 90.- de frais d'installation + 180.- par année pour 300 malheureux Mo (avec MySQL en option pour 90.-/an).
Ça fait cher le "site" Facebook quand même...
Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO
Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).
Pourquoi ? Un sombre complot des autorités payantes ?
Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).
Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.
Petit compte rendu sur la fameuse faille OpenSSL.
Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).
Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !
Voici quelques liens pour étayer mes propos :
- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389
Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)
Certes, mais faut-il encore que la faille ait été exploitée !
EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : http://links.kevinvuilleumier.net/?wy6O9Q
Du gros n'importe quoi -_-
Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !
Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."
Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).
Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.
Ou comment obtenir un certificat SSL gratuit qui sera valide dans le navigateur. Évidemment, ça ne remplace pas un "vrai" certificat si vous traitez des données sensibles ou devez fournir certaines preuves de qualité, mais ça suffira pour 99% des utilisateurs.
Le vrai problème, c'est de mettre en place le certificat obtenu dans un hébergement mutualisé... beaucoup font payer ce service, car il requiert d'avoir une adresse IP unique par site. Chez OVH, c'est malheureusement 50€/an...
OK, je résume : la Suisse, ou plutôt l'Office fédéral de l'informatique et de la télécommunication (OFIT), possède son propre CA (Certificate Authority) pour signer ses certificats. Le problème, c'est qu'il n'est reconnu que par Microsoft et Apple. Soit bien peu de monde...
Il faut savoir que Mozilla refuse de l'accepter dans Firefox depuis... 2008 ! Les raisons d'un tel refus ? Mozilla estime que l'OFIT a une pratique légèrement dangereuse (plus de détails dans l'article). Oups.
Pourtant, aucun des sites signés par la CA ne soulève d'alertes dans le navigateur Firefox ?! Ce miracle est possible parce qu'ils ont décidé de contourner le problème en le faisant valider par un autre organisme. Sans compter le fait que les certificats expirent demain et qu'ils n'auront jamais le temps de tous les changer. Un beau bordel.
C'est vrai qu'avec les autorités de certification qui sont inclues de base, la substitution des certificats légitimes n'est pas un problème pour une agence telle que la NSA.
Heureusement, il existe des extensions pour les principaux navigateurs qui permettent de lever une alerte si un certificat a changé.
En temps que développeur, si vous communiquez en SSL/TLS, n'oubliez pas de vérifier le fingerprint ! Un collègue de classe a réussi à faire un MITM SSL d'une application, car celle-ci ne vérifiait pas si c'était le bon certificat !
Ce site permet de tester la qualité des certificats SSL d'un domaine.