blog-source/output/feeds/feed.rss.notes.xml

<?xml version="1.0" encoding="utf-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Wxcafé</title><link>file:///home/wxcafe/code/blog-source/output/</link><description></description><atom:link href="file:///home/wxcafe/code/blog-source/output/feeds/feed.rss.notes.xml" rel="self"></atom:link><lastBuildDate>Fri, 30 May 2014 08:25:00 +0200</lastBuildDate><item><title>SSL ou la sécurité sur l'internet</title><link>file:///home/wxcafe/code/blog-source/output/posts/SSL-ou-la-securite-sur-internet/</link><description>&lt;p&gt;&lt;em&gt;Disclaimer: Ce billet est écrit après le visionnage de la conférence de Moxie 
Marlinspike suivante: &lt;a href="https://www.youtube.com/watch?v=ibF36Yyeehw"&gt;More Tricks for Defeating SSL&lt;/a&gt;,
présentée a la DefCon 17 (en 2011), et la lecture du billet suivant: 
&lt;a href="http://www.thoughtcrime.org/blog/lavabit-critique/"&gt;A Critique of Lavabit&lt;/a&gt;, 
ce qui peut avoir l'effet de rendre légèrement parano. Si vous considérez que 
c'est le cas ici, veuillez ne pas tenir compte de ce billet (et vous pouvez dès
a présent dire coucou aux différentes personnes qui écoutent votre connection)&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;Si vous venez ici souvent (vous devriez), et que vous utilisez SSL pour vous
connecter a ce site (vous devriez, vraiment, dans ce cas), vous avez peut être
remarqué quelque chose récemment : il se trouve que le certificat qui permet de
desservir ce site a changé.&lt;/p&gt;
&lt;p&gt;Cela fait suite aux évènements évoqués dans le &lt;em&gt;Disclaimer&lt;/em&gt;, mais aussi a des
doigts sortis d'un endroit particulier du corps de l'admin/auteur de ce "blog",
qui a pris &lt;strong&gt;enfin&lt;/strong&gt; les 5 minutes nécessaires a la compréhension superficielle
du fonctionnement de SSL, et les 10 nécessaires a la mise en place d'un système
fonctionnel utilisant cette compréhension récemment acquise.&lt;/p&gt;
&lt;p&gt;Bref, le certificat a changé. Mais de quelle façon, vous demandez vous peut
être (ou pas, mais bon, je vais expliquer de toute façon). Et bien c'est très
simple : il existait auparavant un certificat pour &lt;code&gt;wxcafe.net&lt;/code&gt;, un pour
&lt;code&gt;paste.wxcafe.net&lt;/code&gt;, un pour &lt;code&gt;mail.wxcafe.net&lt;/code&gt;, etc... Bref, un certificat
différent pour chaque sous-domaine.&lt;/p&gt;
&lt;p&gt;Il s'avère que c'est a la fois très peu pratique a utiliser (les utilisateurs
doivent ajouter chaque certificat a leur navigateur séparément, chaque 
changement de sous-domaine conduit a un message d'erreur, etc) et pas plus
sécurisé que d'avoir un seul certificat wildcard. J'ai donc généré un certificat
pour &lt;code&gt;*.wxcafe.net&lt;/code&gt; hier, et il sera dorénavant utilisé pour tous les
sous-domaine de &lt;code&gt;wxcafe.net&lt;/code&gt;; et un certificat pour &lt;code&gt;wxcafe.net&lt;/code&gt;, qui ne matche
pas &lt;code&gt;*.wxcafe.net&lt;/code&gt;, et qui sera donc utilisé... bah pour &lt;code&gt;wxcafe.net&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Il serait préférable de faire des redirections automatiques des adresses http
vers les adresses https, cependant, étant donné que le certificat est
self-signed, il me semble préférable que l'arrivée sur le site ne commence pas
par une page firefox disant "Something's Wrong!", et ces redirections ne seront
donc pas mises en place.&lt;/p&gt;
&lt;p&gt;De plus, après la lecture de l'article de blog sur Lavabit dont le lien est plus
haut, il semble intéressant (et assez important) de faire en sorte que le
serveur utilise en priorité (et si possible, uniquement) des ciphers supportant
PFS, soit EDH et EECDH (Ephemeral Diffie-Helmann et la version Elliptic Curves 
de ce même algorithme). Cela permet de faire en sorte que toutes les 
communications avec ce serveur soient future-proof, c'est a dire que, même si 
quelqu'un récupérait la clé privée, elle ne serait pas utile pour déchiffrer les 
communications passées.&lt;/p&gt;
&lt;p&gt;Bon, maintenant que les explications basiques sont faites, voyons
l'implémentation : &lt;br /&gt;
Pour générer la clé, tout d'abord, il convient d'utiliser les commandes
suivantes:  &lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="n"&gt;sudo&lt;/span&gt; &lt;span class="n"&gt;openssl&lt;/span&gt; &lt;span class="n"&gt;genrsa&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;out&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt; &lt;span class="mi"&gt;4096&lt;/span&gt;
&lt;span class="cp"&gt;# nous utilisons ici une clé de 4096 bits, la taille est laissée a votre appréciation&lt;/span&gt;
&lt;span class="n"&gt;sudo&lt;/span&gt; &lt;span class="n"&gt;openssl&lt;/span&gt; &lt;span class="n"&gt;req&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;new&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;out&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;csr&lt;/span&gt;
&lt;span class="cp"&gt;# OpenSSL va ici vous demander de nombreuses informations, &amp;quot;Common Name&amp;quot; devant contenir le FQDN&lt;/span&gt;
&lt;span class="n"&gt;sudo&lt;/span&gt; &lt;span class="n"&gt;openssl&lt;/span&gt; &lt;span class="n"&gt;X509&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;req&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;days&lt;/span&gt; &lt;span class="mi"&gt;1095&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;in&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;csr&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;signkey&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;out&lt;/span&gt; &lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;crt&lt;/span&gt;
&lt;span class="cp"&gt;# enfin, nous générons la clé, d&amp;#39;une durée de vie de 3 ans&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;p&gt;Bien entendu, si vous voulez utiliser une clé wildcard, il vous faut préciser
&lt;code&gt;*.example.com&lt;/code&gt; comme common name.
Une fois la clé générée, il faut dire aux différents services de l'utiliser, et
de n'utiliser que des ciphers PFS. La méthode dépend donc du service.
Je vais lister ici les methodes pour quelques services que j'utilise :&lt;/p&gt;
&lt;h3&gt;apache :&lt;/h3&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="cp"&gt;# /etc/apache2/mods_enabled/ssl.conf&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;SSLProtocol&lt;/span&gt; &lt;span class="n"&gt;all&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;SSLv2&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;SSLv3&lt;/span&gt;
&lt;span class="n"&gt;SSLHonorCipherOrder&lt;/span&gt; &lt;span class="n"&gt;on&lt;/span&gt;
&lt;span class="n"&gt;SSLCipherSuite&lt;/span&gt; &lt;span class="s"&gt;&amp;quot;EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \&lt;/span&gt;
&lt;span class="s"&gt;  EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \&lt;/span&gt;
&lt;span class="s"&gt;  EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS&amp;quot;&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="cp"&gt;# /etc/apache2/sites-enabled/default-ssl&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;SSLEngine&lt;/span&gt; &lt;span class="n"&gt;on&lt;/span&gt;
&lt;span class="n"&gt;SSLCertificateFile&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;crt&lt;/span&gt;
&lt;span class="n"&gt;SSLCertificateKeyFile&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;h3&gt;nginx :&lt;/h3&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="cp"&gt;# /etc/nginx/nginx.conf &lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;ssl_protocols&lt;/span&gt; &lt;span class="n"&gt;TLSv1&lt;/span&gt; &lt;span class="n"&gt;TLSv1&lt;/span&gt;&lt;span class="mf"&gt;.1&lt;/span&gt; &lt;span class="n"&gt;TLSv1&lt;/span&gt;&lt;span class="mf"&gt;.2&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
&lt;span class="n"&gt;ssl_prefer_server_ciphers&lt;/span&gt; &lt;span class="n"&gt;on&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
&lt;span class="n"&gt;ssl_ciphers&lt;/span&gt; &lt;span class="s"&gt;&amp;quot;EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \&lt;/span&gt;
&lt;span class="s"&gt;  EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \&lt;/span&gt;
&lt;span class="s"&gt;  EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS&amp;quot;&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="cp"&gt;# /etc/nginx/sites-enabled/default-ssl&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;ssl&lt;/span&gt; &lt;span class="n"&gt;on&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
&lt;span class="n"&gt;ssl_certificate&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;crt&lt;/span&gt;
&lt;span class="n"&gt;ssl_certificate_key&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;h3&gt;prosody (jabber) :&lt;/h3&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="cp"&gt;# tout d&amp;#39;abord, lancez la commande suivante :&lt;/span&gt;
&lt;span class="n"&gt;sudo&lt;/span&gt; &lt;span class="n"&gt;openssl&lt;/span&gt; &lt;span class="n"&gt;dhparam&lt;/span&gt; &lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="n"&gt;out&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;prosody&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;dh&lt;/span&gt;&lt;span class="o"&gt;-&lt;/span&gt;&lt;span class="mf"&gt;2048.&lt;/span&gt;&lt;span class="n"&gt;pem&lt;/span&gt; &lt;span class="mi"&gt;2048&lt;/span&gt;
&lt;span class="cp"&gt;# ensuite, pour chaque VirtualHost dans /etc/prosody/prosody.conf :&lt;/span&gt;
&lt;span class="n"&gt;ssl&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="p"&gt;{&lt;/span&gt;
  &lt;span class="n"&gt;dhparam&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="s"&gt;&amp;quot;/etc/prosody/certs/dh-2048.pem&amp;quot;&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
  &lt;span class="n"&gt;key&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="s"&gt;&amp;quot;/etc/certs/example.com.key&amp;quot;&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
  &lt;span class="n"&gt;certificate&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="s"&gt;&amp;quot;/etc/certs/example.com.crt&amp;quot;&lt;/span&gt;&lt;span class="p"&gt;;&lt;/span&gt;
&lt;span class="p"&gt;}&lt;/span&gt;
&lt;span class="cp"&gt;# la cipher suite de prosody utilise par défaut EDH et EECDH&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;h3&gt;postfix (email) :&lt;/h3&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="cp"&gt;# /etc/postfix/main.cf&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_cert_file&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;crt&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_key_file&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt;
&lt;span class="n"&gt;tls_preempt_cipherlist&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;yes&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_eecdh_grade&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;strong&lt;/span&gt;
&lt;span class="n"&gt;smtdp_tls_mandatory_ciphers&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;high&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_mandatory_exclude_ciphers&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;aNULL&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;eNULL&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;MD5&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;LOW&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="mi"&gt;3&lt;/span&gt;&lt;span class="n"&gt;DES&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;EXP&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;PSK&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;SRP&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="n"&gt;DSS&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_security_level&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;encrypt&lt;/span&gt;
&lt;span class="n"&gt;smtpd_tls_mandatory_protocols&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="o"&gt;!&lt;/span&gt;&lt;span class="n"&gt;SSLv2&lt;/span&gt;&lt;span class="p"&gt;,&lt;/span&gt; &lt;span class="o"&gt;!&lt;/span&gt;&lt;span class="n"&gt;SSLv3&lt;/span&gt;
&lt;span class="n"&gt;smtpd_use_tls&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;yes&lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;h3&gt;dovecot (imap) :&lt;/h3&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="cp"&gt;# /etc/dovecot/dovecot.conf &lt;/span&gt;
&lt;span class="cp"&gt;# [...]&lt;/span&gt;
&lt;span class="n"&gt;ssl_cert&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="o"&gt;&amp;lt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;crt&lt;/span&gt;
&lt;span class="n"&gt;ssl_key&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="o"&gt;&amp;lt;/&lt;/span&gt;&lt;span class="n"&gt;etc&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;certs&lt;/span&gt;&lt;span class="o"&gt;/&lt;/span&gt;&lt;span class="n"&gt;example&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;com&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;key&lt;/span&gt;
&lt;span class="n"&gt;ssl_cipher_list&lt;/span&gt; &lt;span class="o"&gt;=&lt;/span&gt; &lt;span class="n"&gt;HIGH&lt;/span&gt;&lt;span class="o"&gt;+&lt;/span&gt;&lt;span class="n"&gt;kEDH&lt;/span&gt;&lt;span class="o"&gt;:&lt;/span&gt;&lt;span class="n"&gt;HIGH&lt;/span&gt;&lt;span class="o"&gt;+&lt;/span&gt;&lt;span class="n"&gt;kEECDH&lt;/span&gt;&lt;span class="o"&gt;:&lt;/span&gt;&lt;span class="n"&gt;HIGH&lt;/span&gt;&lt;span class="o"&gt;:!&lt;/span&gt;&lt;span class="n"&gt;PSK&lt;/span&gt;&lt;span class="o"&gt;:!&lt;/span&gt;&lt;span class="n"&gt;SRP&lt;/span&gt;&lt;span class="o"&gt;:!&lt;/span&gt;&lt;span class="mi"&gt;3&lt;/span&gt;&lt;span class="n"&gt;DES&lt;/span&gt;&lt;span class="o"&gt;:!&lt;/span&gt;&lt;span class="n"&gt;aNULL&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;p&gt;Voila. Pour d'autres protocoles/services, je vous invite a RTFM^W vous reporter
au manuel approprié.&lt;/p&gt;
&lt;p&gt;Cela étant dit, je conseille a tout le monde d'aller voir la conférence dans le
disclaimer, et tant qu'a faire la conférence du même hacker &lt;a href="https://www.youtube.com/watch?v=8N4sb-SEpcg"&gt;SSL and the future
of Authenticity&lt;/a&gt; qui parle de son
implémentation d'une technologie "remplaçant" le système de CAs qui existe
actuellement.&lt;/p&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">Wxcafe</dc:creator><pubDate>Fri, 30 May 2014 08:25:00 +0200</pubDate><guid>tag:,2014-05-30:home/wxcafe/code/blog-source/output/posts/SSL-ou-la-securite-sur-internet/</guid></item><item><title>Redesign du blog, etc</title><link>file:///home/wxcafe/code/blog-source/output/posts/redesign-du-blog/</link><description>&lt;p&gt;Comme vous avez pu le remarquer, ce blog a "un peu" changé récemment.&lt;/p&gt;
&lt;p&gt;Du coup, expliquons. J'ai récemment monté &lt;a href="http://serverporn.fr"&gt;serverporn&lt;/a&gt;, et ai par la même
occasion découvert &lt;a href="http://getpelican.com"&gt;pelican&lt;/a&gt;. J'ai tout de suite accroché a ce générateur de
site statique en python, du fait de son efficacité, de sa facilité d'utilisation
et de sa grande customisation. En gros, pelican est un logiciel qui prend des
fichiers markdown ou reStructuredText, les passe a la moulinette d'un "thème"
constitué de templates pour les fichiers html et l'organisation du projet et
d'une partie "statique" contenant le css, et les autres fichiers nécessaires au
projet, et en fait des pages html.  &lt;/p&gt;
&lt;p&gt;Globalement, un thème est constitué ainsi :&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre&gt;&lt;span class="n"&gt;th&lt;/span&gt;&lt;span class="err"&gt;è&lt;/span&gt;&lt;span class="n"&gt;me&lt;/span&gt;
&lt;span class="err"&gt;├──&lt;/span&gt; &lt;span class="k"&gt;static&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;   &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="n"&gt;css&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;   &lt;span class="err"&gt;│&lt;/span&gt;  &lt;span class="err"&gt;└─&lt;/span&gt; &lt;span class="p"&gt;[&lt;/span&gt;&lt;span class="n"&gt;css&lt;/span&gt; &lt;span class="n"&gt;files&lt;/span&gt;&lt;span class="p"&gt;]&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;   &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="n"&gt;img&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;   &lt;span class="err"&gt;│&lt;/span&gt;  &lt;span class="err"&gt;└─&lt;/span&gt; &lt;span class="p"&gt;[&lt;/span&gt;&lt;span class="n"&gt;image&lt;/span&gt; &lt;span class="n"&gt;files&lt;/span&gt;&lt;span class="p"&gt;]&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;   &lt;span class="err"&gt;└─&lt;/span&gt; &lt;span class="n"&gt;js&lt;/span&gt;
&lt;span class="err"&gt;│&lt;/span&gt;      &lt;span class="err"&gt;└─&lt;/span&gt; &lt;span class="p"&gt;[&lt;/span&gt;&lt;span class="n"&gt;javascript&lt;/span&gt; &lt;span class="n"&gt;files&lt;/span&gt;&lt;span class="p"&gt;]&lt;/span&gt;
&lt;span class="err"&gt;└──&lt;/span&gt; &lt;span class="n"&gt;template&lt;/span&gt;
    &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="n"&gt;base&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;html&lt;/span&gt;
    &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="n"&gt;index&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;html&lt;/span&gt;
    &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="n"&gt;page&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;html&lt;/span&gt;
    &lt;span class="err"&gt;├─&lt;/span&gt; &lt;span class="p"&gt;[...]&lt;/span&gt;
    &lt;span class="err"&gt;└─&lt;/span&gt; &lt;span class="n"&gt;article&lt;/span&gt;&lt;span class="p"&gt;.&lt;/span&gt;&lt;span class="n"&gt;html&lt;/span&gt;
&lt;/pre&gt;&lt;/div&gt;


&lt;p&gt;Sachant que les fichiers .html sont en réalité des fichiers suivant la syntaxe 
django, et utilisent des variables particulières telles &lt;code&gt;{{ article.content }}&lt;/code&gt;,
par exemple. La syntaxe complète est très bien documentée dans la &lt;a href="http://docs.getpelican.com/en/3.2/themes.html#templates-and-variables"&gt;doc&lt;/a&gt; de
pelican.&lt;/p&gt;
&lt;p&gt;L'un des grands avantages de pelican est aussi la facilité qu'il offre quand a
la mise a jour du blog.&lt;br /&gt;
En effet, il offre un système de Makefiles permettant, grâce a de nombreuses
cibles de compilation, de régénérer le site entier, de ne générer que les
fichiers modifiés depuis la dernière génération, de générer uniquement les
fichiers n'existant pas la dernière fois, etc...
La gestion du projet en devient donc très simple, puisque après avoir écrit un
article, il suffit de faire un &lt;code&gt;make html&lt;/code&gt; pour mettre a jour le blog.&lt;/p&gt;
&lt;p&gt;De plus, le système de wordpress commençait a ne plus me convenir, du fait du
manque de customisation, du fait que ça soit du PHP (beurk), etc. La, avec
pelican, je contrôle bien plus ce qui est mis sur le serveur (puisque c'est moi
qui ait modifié les templates et le css), c'est lisible (puisque c'est du
python, par opposition au PHP...), et c'est plus "efficace". Le markdown est
très pratique, je peux utiliser mon éditeur de texte de prédilection pour faire
les articles, je n'ai pas besoin d'un accès continu au net, bref, c'est plus
efficace.&lt;/p&gt;
&lt;p&gt;En ce qui concerne les points négatifs : &lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;Perte des commentaires: 
    Je vous propose de vous référer a l'article de Gordontesos &lt;a href="http://gordon.re/hacktivisme/la-necessite-des-commentaires.html"&gt;ici&lt;/a&gt; quand a 
    mon avis sur ce sujet.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Perte du bouton flattr:
    Il va bientôt être remis, c'est juste un manque de temps de ma part, mais vu
    que toutes les pages passent par les mêmes templates, c'est assez facile a
    faire.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Perte du spam:
    Pourquoi c'est dans les points négatifs, ca?&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Temps d'adaptation et d'appréhension du système:
    Oui, pendant encore un certain temps, il y aura des glitchs plus ou moins
    réguliers sur le blog, c'est parce que j'apprend a me servir de ce système
    et que j'apprend du css et du html. Ca arrive, ca passera, mais dans tous
    les cas ca me permet d'apprendre plein de choses, donc je mets plutôt ca
    dans la catëgorie positive.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Voila, c'est mon retour d'expérience sur pelican. A plus. &lt;/p&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">wxcafe</dc:creator><pubDate>Wed, 12 Jun 2013 19:14:00 +0200</pubDate><guid>tag:,2013-06-12:home/wxcafe/code/blog-source/output/posts/redesign-du-blog/</guid></item><item><title>Update</title><link>file:///home/wxcafe/code/blog-source/output/posts/update/</link><description>&lt;p&gt;Juste une petite note pour annoncer le prochain article, consacré a la
fabrication d'une PirateBox basée sur un Raspberry Pi. Voila, a bientôt
sur le blog!&lt;/p&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">Wxcafe</dc:creator><pubDate>Sat, 05 Jan 2013 18:32:00 +0100</pubDate><guid>tag:,2013-01-05:home/wxcafe/code/blog-source/output/posts/update/</guid></item><item><title>Update a propos du blog</title><link>file:///home/wxcafe/code/blog-source/output/posts/update-a-propos-du-blog/</link><description>&lt;p&gt;Bonsoir! Un petit post pour faire un peu le point sur ce blog.&lt;br /&gt;
Comme vous avez pu le remarquer, j'ai un peu de mal a tenir les délais
que je m'étais fixés pour ce blog (un post tous les 8 jours), et après y
avoir un tantinet réfléchi, ceci est du a deux points principaux :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;Tout d'abord, le manque d'inspiration, tout simplement. C'est assez
compliqué de trouver des sujets intéressants liés a l'informatique, et
qui méritent un article. Je vous invite d'ailleurs a me suggérer des
sujets via les commentaires ou twitter (&lt;a href="https://twitter.com/wxcafe"&gt;@Wxcafe&lt;/a&gt;)&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Ensuite, le délai de 8 jours est trop court pour me permettre de faire
les recherches nécessaires, tout en manageant mes cours et mon temps
libre.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;A cause de cela, j'ai pris la décision de changer le rythme de parution
des articles a un *minimum* d'un post tous les 10 jours. Bien entendu,
si j'ai de l'inspiration en trop, plus de posts sont envisageables.&lt;/p&gt;
&lt;p&gt;Voila. A part ca, je tiens a vous remercier de me lire (c'est assez
étonnant de voir ca...), et je précise que je vais ajouter une page
About Me, qui bien entendu rassemblera des informations sur moi, ma vie,
mon oeuvre :P&lt;/p&gt;
&lt;p&gt;Ceci dit, je vais bosser un peu sur le prochain article.&lt;/p&gt;
&lt;p&gt;A plus tard!&lt;/p&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">Wxcafe</dc:creator><pubDate>Tue, 18 Sep 2012 16:57:00 +0200</pubDate><guid>tag:,2012-09-18:home/wxcafe/code/blog-source/output/posts/update-a-propos-du-blog/</guid></item><item><title>Débuts, présentation, etc...</title><link>file:///home/wxcafe/code/blog-source/output/posts/debuts-presentation-etc/</link><description>&lt;p&gt;Bonjour!&lt;/p&gt;
&lt;p&gt;Je m'appelle Wxcafé, et ça fait pas mal de temps que je sévis sur
Twitter, mais aussi sur IRC (Je traîne pas mal sur
irc.freenode.net/##nolife et #debian-fr)&lt;/p&gt;
&lt;p&gt;J'ai 17 ans, je suis donc étudiant (bac général), je vis a Paris, et je
fais partie de ce genre de personne qui sont capables d'investir tout
leur temps et leur énergie a s’intéresser a un sujet en particulier, et
qui ne peuvent pas vivre sans leurs passions, avec une petite différence
cependant, qui est que je m’intéresse a plusieurs choses :
l'informatique, qui est un champ tellement large qu'on peut passer une
vie a apprendre des choses dessus, et plus particulièrement à
l'informatique avancée (Noyaux dérivés d'UNIX et de Linux, outils libres
{bien que n'étant pas un barbu intégriste [ceci est un troll assumé. Les
trolls seront a partir de maintenant indiqués avec le tag [tr]] du
libre, je préfère utiliser de l'open-source si c'est possible},
programmation en C, python et java, etc...) , mais aussi a
l’électronique. &lt;/p&gt;
&lt;p&gt;Dans un tout autre registre, je m’intéresse aussi
beaucoup aux différents aspects du féminisme et des égalités sexuelles
(anti-homophobie/transphobie/biphobie/etc , anti-sexisme, et cætera) ,
et a la culture dite "geek" en général.&lt;/p&gt;
&lt;p&gt;Je tenterai de poster ici le plus souvent possible, mais j'ai de gros
problèmes en terme de régularité de post, donc ne vous inquiétez pas si
vous ne voyez rien pendant deux semaines.&lt;/p&gt;
&lt;p&gt;Merci beaucoup de votre attention, et a bientôt!&lt;/p&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">Wxcafe</dc:creator><pubDate>Sat, 18 Aug 2012 20:27:00 +0200</pubDate><guid>tag:,2012-08-18:home/wxcafe/code/blog-source/output/posts/debuts-presentation-etc/</guid></item></channel></rss>