Quelques informations intéressantes et retour d'expériences avant de se lancer dans une installation des certificats avec Let's Encrypt.

Il faut vraiment que je m'attaque à ça un de ces jours.

(via https://www.e-jim.be/liens/?2laTbQ )

La NSA aurait-elle investi des centaines de millions de dollars pour casser du VPN ? Ça parait tellement énorme comme investissement... Mais le retour doit l'être également.

Ça fait -encore une fois- bien peur!

[Edit : https://reflets.info/cryptographie-on-va-tous-mourir-encore/
En gros, le problème n'est pas la crypto mais une erreur possible de configuration (si de nombreux serveurs utilisent le même nombre premier comme base pour les calculs, il y a beaucoup moins d'efforts à faire pour récupérer leurs communications. Ça ne veut pas dire que la crypto a un soucis ni que Diffie-Hellman est "cassé".

Il faut que je lise ça plus en détail. Et puis StartSSL m'a envoyé balader en disant qu'ils ont trop de demandes... ( Over Capacity. We are currently receiving more requests than we can handle. Please try it later again. )

J'oublie toujours qu'on peut utiliser les outils de développement intégrés à Firefox pour faire une capture d'écran. J'utilise d'habitude "Awesome Screenshot" mais il n'a pas fonctionné sur une page trop longue.. Voici comment ouvrir la barre de développement et faire une capture d'écran d'une page complète :

1) Ouvrir/fermer la Barre de développement : SHIFT + F2

2) Faire une capture d'écran d'une page complète : screenshot --fullpage nom_image.png

Comme ça, je peux faire une capture d'écran de l'article d'Aeris ( https://blog.imirhil.fr/cryptcheck-verifiez-vos-implementations-de-tls.html ) pour ceux qui n'ont pas un navigateur suffisamment récent pour avoir un algo compatible avec son serveur d'extrémiste. ;-)

Un article très intéressant sur les subtilités SSL/TLS, vraiment très clair et instructif.

Suite à l'arrivée d'une autorité de certification avec la fondation Mozilla, Cisco et d'autres ( https://letsencrypt.org/ ), je suis tombé sur StartSSL. Ils proposent des certificats gratuits pour passer son/ses serveur(s) en HTTPS. Je remarque simplement que le serveur est en Israël ? Ils me semblent qu'ils ont de bons hackers dans l'armée là-bas, non ? Est-ce que diffuser leurs certificats n'est pas intéressant pour eux d'un point de vue stratégique ?

(Après, j'ai encore pas mal de lacunes, possible que je ne comprenne pas tout et qu'il n'y ai aucune inquiétude à avoir.)

mitmproxy est un outil qui permet d'intercepter et éventuellement modifier ou sauvegarder le trafic HTTP et/ou HTTPS.
Quand j'ai essayé d'installer mitmproxy avec pip, j'ai eu pas mal d'erreurs. J'ai du installer les dépendances nécessaires d'abord :

| ========
| simon@ordi:~$ sudo aptitude install libffi-dev libxml2-dev libxslt-dev
| simon@ordi:~$ sudo pip install mitmproxy
| ========

Il ne reste plus qu'à jouer avec pour tester. :-)

Github : https://github.com/mitmproxy/mitmproxy
Une conférence de Jim Cheetham sur mitmproxy : http://youtu.be/kQ1-0G90lQg
( via Korben : http://korben.info/proxy-man-in-the-middle-http.html )

J'ai depuis peu un serveur virtuel chez OVH et j'ai configuré le firewall iptables en partie grâce à ce tutoriel : http://fr.openclassrooms.com/informatique/cours/securiser-son-serveur-linux
Étonnement, il ne parle pas d'HTTPS et du port 443 à ouvrir au besoin.

Quand j'ai voulu installer Pelican via PIP (voir http://www.simonlefort.be/links/?TcVjJw ), j'ai eu l'erreur suivante :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Cannot fetch index base URL http://pypi.python.org/simple/
| Could not find any downloads that satisfy the requirement pelican
| No distributions at all found for pelican
| Storing complete log in /root/.pip/pip.log
| ========

J'ai donc rajouté les lignes suivantes dans le script de configuration d'iptables :
| ========
| simon@ordi:~$ sudo nano /etc/init.d/firewall
| iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
| iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
| ========

J'ai ensuite relancé le script :
| ========
| simon@ordi:~$ sudo /etc/init.d/firewall
| ========

J'ai enfin pu installer Pelican :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Real name of requirement pelican is pelican
| Downloading pelican-3.4.0.tar.gz (259Kb): 259Kb downloaded
| Running setup.py egg_info for package pelican
| (...)
| ========

J'ai aussi installé markdown :
| ========
| simon@vps89550:~$ sudo pip install markdown
| Downloading/unpacking markdown
| Real name of requirement markdown is Markdown
| Downloading Markdown-2.4.1.tar.gz (279Kb): 279Kb downloaded
| Running setup.py egg_info for package markdown
| (...)
| ========