StartSSL, the Start of SSL Certificates.
StartEncrypt, the Start of Encryption,Free and Automation.
The new HTTPS is Green bar EV SSL enabled HTTPS.
StartSSL en mode Letsencrypt
— Permalien
Caddy is an alternative web server that is easy to configure and use. Caddy supports HTTP/2, IPv6, Markdown, WebSockets, FastCGI, templates and more, right out of the box.
— Permalien
Test de la configuration
On peut utiliser des outils comme mon CryptCheck ou SSLLabs pour faire des tests en ligne et voir si la configuration de sa machine est correcte.
Il existe aussi des outils en ligne de commande qui permettent de tester plus rapidement et plus souvent sa configuration, ce qui est pratique lors de sa mise-au-point. On peut citer CryptCheck à nouveau, ou SSLScan.
Outils CLI
https://github.com/aeris/cryptcheck
https://github.com/rbsec/sslscan
Outils Web
https://www.ssllabs.com/ssltest/index.html
https://tls.imirhil.fr/
— Permalien
estssl.sh is a free command line tool which checks a server's service on any port for the support of TLS/SSL ciphers, protocols as well as recent cryptographic flaws and more.
— Permalien
Sommaire
-SSL Labs, l'incontournable
- Création d'un .csr et d'un .key
- c'est pourquoi déjà ce certificat ?
et les deux fichiers, là, ils vont ensemble ?
- configuration SSL/TLS sous Apache2 :
- .chain ? késako
- s_client
- OpenSSL sur mon système :
pour aller plus loin (mais vraiment très, très loin)
]]>Vérifier avec ses gros doigts la validité d'une connexion TLS/SSL
— Permalien
Recommended configurations for server on mozilla wiki
— Permalien
On Tuesday, March 3, 2015, researchers disclosed a new SSL/TLS vulnerability — the FREAK attack. The vulnerability allows attackers to intercept HTTPS connections between vulnerable clients and servers and force them to use ‘export-grade’ cryptography, which can then be decrypted or altered. There are several posts that discuss the attack in detail: Matt Green, The Washington Post, and Ed Felten.
A connection is vulnerable if the server accepts RSA_EXPORT cipher suites and the client either offers an RSA_EXPORT suite or is using a version of OpenSSL that is vulnerable to CVE-2015-0204. Vulnerable clients include many Google and Apple devices (which use unpatched OpenSSL), a large number of embedded systems, and many other software products that use TLS behind the scenes without disabling the vulnerable cryptographic suites.
This site focuses on tracking the impact of the attack. See below for:
RSA Export Suite Statistics
Popular Sites that Allow RSA Export Suites
Client Test
Sysadmin Guide
https://www.openssl.org/news/secadv_20150108.txt
http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html
http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/
http://www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/
— Permalien
Suite aux révélations du héros Edward Snowden, bien des gens ont pris conscience de ce que tous les experts en sécurité annonçaient depuis longtemps : les services d'espionnage espionnent et ne respectent aucune limite. Notamment, tout le trafic envoyé sur l'Internet peut être écouté, si on ne prend pas de précautions particulières. La solution technique la plus souvent citée est l'usage systématique de la cryptographie. Ce choix est tout à fait justifié. Mais il ne faut pas s'imaginer qu'il va être gratuit : tout chiffrer va faire perdre certaines possibilités, notamment en matière de déboguage.
— Permalien
Understanding and deploying SSL/TLS and PKI to secure servers and web applications, by Ivan Ristić
For system administrators, developers, and IT security professionals, this book provides a comprehensive coverage of the ever-changing field of SSL/TLS and Internet PKI. Written by Ivan Ristić, a security researcher and author of SSL Labs, this book will teach you everything you need to know to protect your systems from eavesdropping and impersonation attacks.
— Permalien
Le protocole de messagerie instantanée IRC est toujours très utilisé, malgré la concurrence de XMPP. Il n'existait pas de port « officiel » pour les connexions IRC sécurisées par TLS, ce qui est fait avec ce RFC, qui décrit l'usage, déjà très répandu, du port 6697.
— Permalien
Since the beginning of time—Python time anyway—there has been no checking of SSL/TLS certificates in Python's standard library; neither the urllib nor the urllib2 library performs this checking. As a result, when a Python client connects to a site using HTTPS, any certificate can be offered by the server and the connection will be established. That is probably not what most Python programmers expect, but the documentation does warn those who read it. There are alternatives, of course, but not in the standard library—until now. Python 3.4 makes things a lot better but still does no verification by default, which is a major concern to some Python developers
— Permalien
For an SSL-protected website, using CloudFlare has major security implications. When your website is secured with an SSL certificate CloudFlare requires it do be able to do its job. In other words, all your traffic transits in clear through the CloudFlare servers. If your trade is organic cupcakes, you probably won’t care. If you’re CTO at Bitstamp, then keep reading.
— Permalien
Yesterday, Apple pushed a rather spooky security update for iOS that suggested that something was horribly wrong with SSL/TLS in iOS but gave no details. Since the answer is at the top of the Hacker News thread, I guess the cat's out of the bag already and we're into the misinformation-quashing stage now. (cf https://freedom-to-tinker.com/blog/kroll/software-transparency-debian-openssl-bug/)
— Permalien
An example of using OpenSSL operations to perform a Diffie-Hellmen secret key exchange (DHKE). The goal in DHKE is for two users to obtain a shared secret key, without any other users knowing that key. The exchange is performed over a public network, i.e. all messages sent between the two users can be intercepted and read by any other user. The protocol makes use of modular arithmetic and especially exponentials. The security of the protocol relies on the fact that solving a discrete logarithm (the inverse of an exponential) is practically impossible when large enough values are used.
— Permalien
À chaque seconde, d'innombrables transactions sur l'Internet sont protégées contre l'écoute et la modification malveillante par le protocole TLS. Ce dernier est capable de chiffrer la session (pour la protéger contre l'écoute par un tiers) et d'authentifier le pair avec qui on parle (pour s'assurer qu'on n'est pas en train de communiquer avec un usurpateur). Comment TLS authentifie t-il ? La méthode la plus courante aujourd'hui est de se servir de certificats X.509 vérifiés (en théorie) par une Autorité de Certification. Ce mécanisme repose sur une confiance aveugle dans de très nombreuses organisations, et a de nombreuses faiblesses, comme on l'a vu en 2011 où le piratage de plusieurs AC a permis à des attaquants d'obtenir de « vrais-faux » certificats, y compris pour des organisations qui n'étaient pas clientes des AC piratées. La démonstration étant ainsi faite que X.509 n'était pas digne de la confiance que certains lui accordent, il restait à concevoir une meilleure solution. Rendue possible par le déploiement de DNSSEC, voici DANE (DNS-based Authentication of Named Entities) et ses enregistrements DNS TLSA. DANE permet à chacun de publier de manière sécurisés ses certificats, bouchant ainsi les vulnérabilités de X.509, ou permettant même de s'en passer complètement
— Permalien