Wxcafé

SSL ou la sécurité sur l'internet

2014-05-30T08:25:00+02:00

Disclaimer: Ce billet est écrit après le visionnage de la conférence de Moxie Marlinspike suivante: More Tricks for Defeating SSL, présentée a la DefCon 17 (en 2011), et la lecture du billet suivant: A Critique of Lavabit, ce qui peut avoir l'effet de rendre légèrement parano. Si vous considérez que c'est le cas ici, veuillez ne pas tenir compte de ce billet (et vous pouvez dès a présent dire coucou aux différentes personnes qui écoutent votre connection)

Si vous venez ici souvent (vous devriez), et que vous utilisez SSL pour vous connecter a ce site (vous devriez, vraiment, dans ce cas), vous avez peut être remarqué quelque chose récemment : il se trouve que le certificat qui permet de desservir ce site a changé.

Cela fait suite aux évènements évoqués dans le Disclaimer, mais aussi a des doigts sortis d'un endroit particulier du corps de l'admin/auteur de ce "blog", qui a pris enfin les 5 minutes nécessaires a la compréhension superficielle du fonctionnement de SSL, et les 10 nécessaires a la mise en place d'un système fonctionnel utilisant cette compréhension récemment acquise.

Bref, le certificat a changé. Mais de quelle façon, vous demandez vous peut être (ou pas, mais bon, je vais expliquer de toute façon). Et bien c'est très simple : il existait auparavant un certificat pour wxcafe.net, un pour paste.wxcafe.net, un pour mail.wxcafe.net, etc... Bref, un certificat différent pour chaque sous-domaine.

Il s'avère que c'est a la fois très peu pratique a utiliser (les utilisateurs doivent ajouter chaque certificat a leur navigateur séparément, chaque changement de sous-domaine conduit a un message d'erreur, etc) et pas plus sécurisé que d'avoir un seul certificat wildcard. J'ai donc généré un certificat pour *.wxcafe.net hier, et il sera dorénavant utilisé pour tous les sous-domaine de wxcafe.net; et un certificat pour wxcafe.net, qui ne matche pas *.wxcafe.net, et qui sera donc utilisé... bah pour wxcafe.net.

Il serait préférable de faire des redirections automatiques des adresses http vers les adresses https, cependant, étant donné que le certificat est self-signed, il me semble préférable que l'arrivée sur le site ne commence pas par une page firefox disant "Something's Wrong!", et ces redirections ne seront donc pas mises en place.

De plus, après la lecture de l'article de blog sur Lavabit dont le lien est plus haut, il semble intéressant (et assez important) de faire en sorte que le serveur utilise en priorité (et si possible, uniquement) des ciphers supportant PFS, soit EDH et EECDH (Ephemeral Diffie-Helmann et la version Elliptic Curves de ce même algorithme). Cela permet de faire en sorte que toutes les communications avec ce serveur soient future-proof, c'est a dire que, même si quelqu'un récupérait la clé privée, elle ne serait pas utile pour déchiffrer les communications passées.

Bon, maintenant que les explications basiques sont faites, voyons l'implémentation :
Pour générer la clé, tout d'abord, il convient d'utiliser les commandes suivantes:

sudo openssl genrsa -out example.key 4096
# nous utilisons ici une clé de 4096 bits, la taille est laissée a votre appréciation
sudo openssl req -new -key example.key -out example.csr
# OpenSSL va ici vous demander de nombreuses informations, "Common Name" devant contenir le FQDN
sudo openssl X509 -req -days 1095 -in example.csr -signkey example.key -out example.crt
# enfin, nous générons la clé, d'une durée de vie de 3 ans

Bien entendu, si vous voulez utiliser une clé wildcard, il vous faut préciser *.example.com comme common name. Une fois la clé générée, il faut dire aux différents services de l'utiliser, et de n'utiliser que des ciphers PFS. La méthode dépend donc du service. Je vais lister ici les methodes pour quelques services que j'utilise :

apache :

# /etc/apache2/mods_enabled/ssl.conf
# [...]
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
  EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
  EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
# [...]
# /etc/apache2/sites-enabled/default-ssl
# [...]
SSLEngine on
SSLCertificateFile /etc/certs/example.com.crt
SSLCertificateKeyFile /etc/certs/example.com.key
# [...]

nginx :

# /etc/nginx/nginx.conf 
# [...]
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
  EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
  EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
# [...]
# /etc/nginx/sites-enabled/default-ssl
# [...]
ssl on;
ssl_certificate /etc/certs/example.com.crt
ssl_certificate_key /etc/certs/example.com.key
# [...]

prosody (jabber) :

# tout d'abord, lancez la commande suivante :
sudo openssl dhparam -out /etc/prosody/certs/dh-2048.pem 2048
# ensuite, pour chaque VirtualHost dans /etc/prosody/prosody.conf :
ssl = {
  dhparam = "/etc/prosody/certs/dh-2048.pem";
  key = "/etc/certs/example.com.key";
  certificate = "/etc/certs/example.com.crt";
}
# la cipher suite de prosody utilise par défaut EDH et EECDH

postfix (email) :

# /etc/postfix/main.cf
# [...]
smtpd_tls_cert_file = /etc/certs/example.com.crt
smtpd_tls_key_file = /etc/certs/example.com.key
tls_preempt_cipherlist = yes
smtpd_tls_eecdh_grade = strong
smtdp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, MD5, LOW, 3DES, EXP, PSK, SRP, DSS
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_use_tls = yes
# [...]

dovecot (imap) :

# /etc/dovecot/dovecot.conf 
# [...]
ssl_cert = </etc/certs/example.com.crt
ssl_key = </etc/certs/example.com.key
ssl_cipher_list = HIGH+kEDH:HIGH+kEECDH:HIGH:!PSK:!SRP:!3DES:!aNULL

Voila. Pour d'autres protocoles/services, je vous invite a RTFM^W vous reporter au manuel approprié.

Cela étant dit, je conseille a tout le monde d'aller voir la conférence dans le disclaimer, et tant qu'a faire la conférence du même hacker SSL and the future of Authenticity qui parle de son implémentation d'une technologie "remplaçant" le système de CAs qui existe actuellement.

Redesign du blog, etc

2013-06-12T19:14:00+02:00

Comme vous avez pu le remarquer, ce blog a "un peu" changé récemment.

Du coup, expliquons. J'ai récemment monté serverporn, et ai par la même occasion découvert pelican. J'ai tout de suite accroché a ce générateur de site statique en python, du fait de son efficacité, de sa facilité d'utilisation et de sa grande customisation. En gros, pelican est un logiciel qui prend des fichiers markdown ou reStructuredText, les passe a la moulinette d'un "thème" constitué de templates pour les fichiers html et l'organisation du projet et d'une partie "statique" contenant le css, et les autres fichiers nécessaires au projet, et en fait des pages html.

Globalement, un thème est constitué ainsi :

thème
├── static
│   ├─ css
│   │  └─ [css files]
│   ├─ img
│   │  └─ [image files]
│   └─ js
│      └─ [javascript files]
└── template
    ├─ base.html
    ├─ index.html
    ├─ page.html
    ├─ [...]
    └─ article.html

Sachant que les fichiers .html sont en réalité des fichiers suivant la syntaxe django, et utilisent des variables particulières telles {{ article.content }}, par exemple. La syntaxe complète est très bien documentée dans la doc de pelican.

L'un des grands avantages de pelican est aussi la facilité qu'il offre quand a la mise a jour du blog.
En effet, il offre un système de Makefiles permettant, grâce a de nombreuses cibles de compilation, de régénérer le site entier, de ne générer que les fichiers modifiés depuis la dernière génération, de générer uniquement les fichiers n'existant pas la dernière fois, etc... La gestion du projet en devient donc très simple, puisque après avoir écrit un article, il suffit de faire un make html pour mettre a jour le blog.

De plus, le système de wordpress commençait a ne plus me convenir, du fait du manque de customisation, du fait que ça soit du PHP (beurk), etc. La, avec pelican, je contrôle bien plus ce qui est mis sur le serveur (puisque c'est moi qui ait modifié les templates et le css), c'est lisible (puisque c'est du python, par opposition au PHP...), et c'est plus "efficace". Le markdown est très pratique, je peux utiliser mon éditeur de texte de prédilection pour faire les articles, je n'ai pas besoin d'un accès continu au net, bref, c'est plus efficace.

En ce qui concerne les points négatifs :

Perte des commentaires: Je vous propose de vous référer a l'article de Gordontesos ici quand a mon avis sur ce sujet.
Perte du bouton flattr: Il va bientôt être remis, c'est juste un manque de temps de ma part, mais vu que toutes les pages passent par les mêmes templates, c'est assez facile a faire.
Perte du spam: Pourquoi c'est dans les points négatifs, ca?
Temps d'adaptation et d'appréhension du système: Oui, pendant encore un certain temps, il y aura des glitchs plus ou moins réguliers sur le blog, c'est parce que j'apprend a me servir de ce système et que j'apprend du css et du html. Ca arrive, ca passera, mais dans tous les cas ca me permet d'apprendre plein de choses, donc je mets plutôt ca dans la catëgorie positive.

Voila, c'est mon retour d'expérience sur pelican. A plus.

Update

2013-01-05T18:32:00+01:00

Juste une petite note pour annoncer le prochain article, consacré a la fabrication d'une PirateBox basée sur un Raspberry Pi. Voila, a bientôt sur le blog!

Update a propos du blog

2012-09-18T16:57:00+02:00

Bonsoir! Un petit post pour faire un peu le point sur ce blog.
Comme vous avez pu le remarquer, j'ai un peu de mal a tenir les délais que je m'étais fixés pour ce blog (un post tous les 8 jours), et après y avoir un tantinet réfléchi, ceci est du a deux points principaux :

Tout d'abord, le manque d'inspiration, tout simplement. C'est assez compliqué de trouver des sujets intéressants liés a l'informatique, et qui méritent un article. Je vous invite d'ailleurs a me suggérer des sujets via les commentaires ou twitter (@Wxcafe)
Ensuite, le délai de 8 jours est trop court pour me permettre de faire les recherches nécessaires, tout en manageant mes cours et mon temps libre.

A cause de cela, j'ai pris la décision de changer le rythme de parution des articles a un *minimum* d'un post tous les 10 jours. Bien entendu, si j'ai de l'inspiration en trop, plus de posts sont envisageables.

Voila. A part ca, je tiens a vous remercier de me lire (c'est assez étonnant de voir ca...), et je précise que je vais ajouter une page About Me, qui bien entendu rassemblera des informations sur moi, ma vie, mon oeuvre :P

Ceci dit, je vais bosser un peu sur le prochain article.

A plus tard!

Débuts, présentation, etc...

2012-08-18T20:27:00+02:00

Bonjour!

Je m'appelle Wxcafé, et ça fait pas mal de temps que je sévis sur Twitter, mais aussi sur IRC (Je traîne pas mal sur irc.freenode.net/##nolife et #debian-fr)

J'ai 17 ans, je suis donc étudiant (bac général), je vis a Paris, et je fais partie de ce genre de personne qui sont capables d'investir tout leur temps et leur énergie a s’intéresser a un sujet en particulier, et qui ne peuvent pas vivre sans leurs passions, avec une petite différence cependant, qui est que je m’intéresse a plusieurs choses : l'informatique, qui est un champ tellement large qu'on peut passer une vie a apprendre des choses dessus, et plus particulièrement à l'informatique avancée (Noyaux dérivés d'UNIX et de Linux, outils libres {bien que n'étant pas un barbu intégriste [ceci est un troll assumé. Les trolls seront a partir de maintenant indiqués avec le tag [tr]] du libre, je préfère utiliser de l'open-source si c'est possible}, programmation en C, python et java, etc...) , mais aussi a l’électronique.

Dans un tout autre registre, je m’intéresse aussi beaucoup aux différents aspects du féminisme et des égalités sexuelles (anti-homophobie/transphobie/biphobie/etc , anti-sexisme, et cætera) , et a la culture dite "geek" en général.

Je tenterai de poster ici le plus souvent possible, mais j'ai de gros problèmes en terme de régularité de post, donc ne vous inquiétez pas si vous ne voyez rien pendant deux semaines.

Merci beaucoup de votre attention, et a bientôt!