Journal OpenSSH No Longer Has To Depend On OpenSSL

Posté par  . Licence CC By‑SA.
Étiquettes :
16
22
sept.
2015

Cher Nal,

durant mes pérégrinations sur la toile, je suis tombé sur un article mentionnant l'adoption du cipher Poly1305 dans OpenSSH, ce qui amène à la possibilité de défaire la dépendance entre SSL et SSH.

L'option de compilation "make OPENSSL=no" est désormais réalité.

http://it.slashdot.org/story/14/04/30/1822209/openssh-no-longer-has-to-depend-on-openssl

Bon OK je suis en retard d'un an, l'article est pas frais etc etc…

Bref, le but de ce journal n'est pas de faire étalage d'une nouveauté d'il y a un an mais plutôt de récolter (…)

Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par  (site web personnel) . Licence CC By‑SA.
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (…)

Revue de presse de l'April pour la semaine 12 de l'année 2015

Posté par  (site web personnel, Mastodon) . Édité par bubar🦥. Modéré par bubar🦥. Licence CC By‑SA.
22
23
mar.
2015
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

LibreSSL 2 est bien lancé

Posté par  . Édité par Nÿco, ZeroHeure, M5oul, BAud, Davy Defaud, ariasuni, palm123, RyDroid, bubar🦥 et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
63
1
déc.
2014
Sécurité

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
LibreSSL

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

NetBSD 6.1.5 et 6.0.6

Posté par  (site web personnel, Mastodon) . Édité par palm123 et BAud. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
29
31
oct.
2014
NetBSD

La fondation NetBSD a annoncé le 6 octobre dernier deux nouvelles versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bogues, et surtout de sécurité.

Ces deux nouvelles versions apportent d'ailleurs les mêmes correctifs et améliorations, qui seront détaillés en deuxième partie de dépêche.

Journal Scripter la génération de certificat

Posté par  . Licence CC By‑SA.
Étiquettes :
7
7
oct.
2014

Cher journal,

Internet ne m'a pas beaucoup aidé à trouver une réponse simple et complète à cette question, alors permets moi de te détailler la solution.

La mise en place d'une AC auto-signée est relativement aisée. Il existe plein de tutoriaux sur internet, celui-ci étant par exemple très clair et didactique.

En lisant le man, tu noteras qu'il faut mettre l'AC dans /usr/local/share/ca-certificates sur les systèmes à base Debian afin qu'elle soit ajouté automatiquement en tant qu'AC dite de confiance

(…)

Forum Astuces.divers Scripter la génération de certificat

Posté par  . Licence CC By‑SA.
Étiquettes :
9
7
oct.
2014

Cher journal,

Internet ne m'a pas beaucoup aidé à trouver une réponse simple et complète à cette question, alors permets moi de te détailler la solution.

La mise en place d'une AC auto-signée est relativement aisée. Il existe plein de tutoriaux sur internet, celui-ci étant par exemple très clair et didactique.

En lisant le man, tu noteras qu'il faut mettre l'AC dans /usr/local/share/ca-certificates et non dans /usr/share/ca-certificates sur les systèmes à base Debian afin qu'elle soit ajouté automatiquement via le (…)

Journal LibReSLL déjà dans les bacs !

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
22
15
juil.
2014

LibReSSL sapusaypaportable ? plus maintenant, LibReSSL, le fork d'OpenSSL par les développeurs d'OpenBSD est sortie en version portable ! C'est sensé marcher sous Linux, Solaris, Mac OSX et FreeBSD.

Via Undeadly.

Journal OpenSSL : une nouvelle faille découverte permet une attaque de l'homme du milieu

Posté par  . Licence CC By‑SA.
36
6
juin
2014

Malheureusement, après Heartbleed, OpenSSL est à nouveau touchée par une faille qui relève purement de l'implémentation : l'attaque par injection de "ChangeCipherSpec", a.k.a CVE-2014-0224.

Elle permet à un attaquant actif - qui peut écouter et modifier les trames réseaux à la volée - d'avoir un contrôle total et transparent sur la connexion chiffrée.

Rappel sur TLS

Lorsque deux machines se mettent en relation avec le protocole TLS, il y a toujours une phase d'initialisation, le Handshake. Dans (…)

Journal Des nouvelles de LibreSSL

Posté par  . Licence CC By‑SA.
53
19
mai
2014

Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:

http://www.openbsd.org/papers/bsdcan14-libressl/

On y apprend, entre autres:

  • Que la goute qui a fait déborder le vase n'était pas Heartbleed mais le remplacement pourri de malloc().
  • Que la fondation OpenSSL est une organisation à but lucratif qui génère des gains de l'ordre du million de dollars par (…)

Les journaux LinuxFr.org les mieux notés du mois d'avril 2014

13
2
mai
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'avril passé.

Core Infrastructure Initiative

Posté par  . Édité par Davy Defaud et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
29
25
avr.
2014
Technologie

Après la réponse musclée d’OpenBSD face à la faille Heartbleed d’OpenSSL, la Fondation Linux a aussi une tentative de solution. C’est un groupe de plus d’une dizaine d’entreprises qui va fournir plusieurs millions de dollars pour financer des projets capitaux et libres dans le besoin.

Les financements pourront aller à des développeurs clefs pour qu’ils puissent travailler à plein temps sur leur projet, à des audits de sécurité, à de l’infrastructure de test ou de développement, à des voyages ou même à des réunions physiques. Ce projet sera administré par la Fondation Linux et les fonds seront attribués par un groupe composé des différents bailleurs de fonds, de développeurs de logiciels libres ou d’autres membres des entreprises impliquées dans le Libre.

Pour l’instant, les premières sociétés impliquées sont (par ordre alphabétique) : Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMWare. La fondation espère que d’autres rejoindront le mouvement.

Logo CII

Journal OpenSSL est mort, vive (le futur) LibreSSL

Posté par  (site web personnel) .
70
22
avr.
2014

Salut les jeunes,

Vous n'êtes pas sans savoir qu'OpenSSL, la librairie plus ou moins standard implémentant les protocoles SSL/TLS, a récemment fait beaucoup parler d'elle pour un bug extrêmement grave. La librairie n'en était pas à son premier coup, elle a déjà fait parler d'elle à plusieurs reprises par le passé par sa piètre qualité (j'ai pas vu moi-même, je ne fais que rapporter ce que j'entends sur la toile).

Et bien les gens de chez OpenBSD en ont (…)

Journal [vidéo] heartbleed pour les nuls

Posté par  . Licence CC By‑SA.
Étiquettes :
14
19
avr.
2014

Bonjour,

Pour cette fin de semaine pascale, je ne saurais vous recommander une émission pédagogique sur Heartbleed, on y aborde divers points :

  • l'origine et le marketing de Heartbleed
  • qu'est-ce-qu'openssl ? Logiciels concurrents ?
  • explication de la faille avec xkcd
  • quels sites sont touchés ?
  • depuis quand cette faille existe et si elle a été exploitée
  • problématique du logiciel libre (peu de contributeurs, beaucoup d'utilisateurs)
  • problématique du mot de passe

Les intervenants sont :

Le seul petit hic c'est (…)