Un article intéressant: depuis 2020, il n'est plus possible d'acheter des certificats TLS de plus de 398 jours.
Un outil sympa et pratique permettant de configurer votre serveur Web selon les bonnes pratiques de sécurité (applicable à tous les serveurs disposant d'un certificat TLS)
Un excellent tuto de tonton Korben concernant l'utilisation de Let's encrypt et de l'outil Certbot de l'EFF.
Pratique pour tester la qualité d'un certificat SSL depuis son propre poste. Sinon, il y a toujours l'excellent Qualys SSL Lab en ligne ;)
Le client Let's Encrypt de l'EFF (l'officiel, donc) est plutôt bien fait, mais je trouve qu'une documentation un peu plus claire n'aurait pas été un mal. Bref, pour ma part, j'ai procédé à l'installation comme ça:
$ mkdir /opt/certbot
$ cd /opt/certbot/
$ wget https://dl.eff.org/certbot-auto
$ chmod a+x certbot-auto
$ ./certbot-auto version
$ ./certbot-auto --apache -d mondomaine.com,www.mondomaine.com --email info@mondomaine.com --rsa-key-size 4096
Et voilà, certificats générés pour mondomaine.com en RSA-4096 :)
Pour renouveler, une petite règle cron:
$ /opt/certbot/certbot-auto certonly --apache -n -d mondomaine.com,www.mondomaine.com --email info@mondomaine.com --rsa-key-size 4096
Et si vous ne voulez pas vous embêter avec tous ces paramètres, un fichier de configuration peut être fourni avec le flag -c (voir ici: https://certbot.eff.org/docs/using.html#configuration-file)
Bien bien, je ne sais pas qui a eu l'idée géniale de nommer une entreprise spécialisée dans le MITM comme Certification Authority, mais ça craint. ça veut dire que Blue Coat peut maintenant émettre des certificats SSL valides et les injecter un peu partout où ça lui chante.
Pour régler le problème sous Windows, c'est par là: http://blogs.msmvps.com/alunj/2016/05/26/untrusting-the-blue-coat-intermediate-ca-from-windows/
Quelques explications sur la manière d'activer HSTS sur un VirtualHost Apache 2.x
Tutoriel sur l'activation de HSTS pour Apache 2.x
Quelques conseils de sécurité pour la configuration d'un VirtualHost sous Apache 2.x avec un certificat SSL
Une astuce (qu'elle est pas bête) pour publier un certificat SSL dans Postfix qui nécessiterait un certificat intermédiaire. C'est le cas par exemple des certificats générés par StartSSL.
Simplement fusionner les trois fichiers en faisant un:
cat mon.crt intermediate.crt root.crt > tousmescertifs.crt
Un article sympa sur la sécurisation d'un serveur avec TLS. A consulter, un must !
Lorsque l'on renouvelle son certificat SSL chez Gandi, visiblement, le certificat intermédiaire qu'ils transmettent n'est pas complet. Il ne permet en effet pas de tracer l'ensemble de la chaine de certification (jusqu'à l'autorité de certification racine), ce qui provoque l'affichage d'un message de sécurité plutôt frustrant.
Cette discussion propose les certificats à rajouter dans le fichier intermédiaire fourni par Gandi afin que l'autorité soit reconnue par les navigateurs. Je trouve ça ridicule que Gandi ne corrige pas une erreur pareille !
Note: vérifier son certificat SSL peut être fait simplement en ligne sur le site https://www.sslshopper.com/ssl-checker.html
Wouhooou ! Mozilla, Cisco, Akamai, EFF et IdenTrust se liguent contre le Web non sécurisé et vont bientôt proposer un outil simplifiant la sécurisation de son serveur Web. Un petit outil téléchargé et exécuté et vous avez un certificat SSL valide et signé installé sur votre site. Le certificat en question sera signé par une autorité de certification (CA) dirigée par eux. Rien de plus à faire, votre site en HTTPS est activé directement.
J'ai hâte de les voir arriver et de tester ça ! Pour l'instant, on peut obtenir des certificats SSL gratuitement chez StartSSL, même si je ne les utiliserais pas pour n'importe quoi. (je suis quand même méfiant, mine de rien)
Comme sebsauvage l'avait déjà fait remarquer, les navigateurs principaux du marché sont livrés avec des certificats pré-installés pour éviter de faire des alertes de sécurité sur n'importe quel certificat SSL publié. Mais voilà, lorsqu'un certificat racine qui a la confiance des utilisateurs est utilisé pour détourner le trafic sécurisé d'un site par un Etat, ça devient vite moins intéressant, pas vrai ?
Une solution toute simple - utilisant OpenSSL - pour chiffrer un document en utilisant AES-256 depuis un OS Linux. Pas besoin d'outil tier, simplement d'openssl !
Extrait intéressant:
Encryption:
openssl aes-256-cbc -in attack-plan.txt -out message.enc
Decryption:
openssl aes-256-cbc -d -in message.enc -out plain-text.txt
TIens, CommitStrip essaie d'expliquer de manière humoristique ce qui se passe avec Heartbleed. Il y a des suggestions d'internautes plutôt sympa !
Un site permettant de tester la qualité du certificat SSL utilisé et qui donne des indications sur la manière de procéder pour améliorer la qualité de la sécurité. Voici le rapport pour le domaine powerjpm.info, c'est plutôt pas mal :)
Quelques trucs et astuces pour appliquer des règles dans Apache (configuration d'un virtual host ou utilisation d'un .htaccess) pour, par exemple, rediriger tout le trafic HTTP en SSL (HTTPS).
Un lien pour tester la qualité de votre client TLS et quelques astuces pour améliorer la qualité de Firefox à ce niveau.
Lien direct: https://www.howsmyssl.com/