Accéder à Reflets.info en HTTPS

EDIT : Désolé mais ça ne fonctionne pas. La raison du « samarchepa » est WordPress, ou plus exactement la lumière de développeur qui a eu l’idée de stocker les urls absolues ET le protocole (dés fois qu’on veuille installer WordPress sur IRC) en dur dans la base de données. Comme il n’est pas question pour nous de modifier la structure de liens, ni de forcer l’utilisation d’OpenSSL par défaut … et bien « samarchepa ». Un conseil entre nous, si vous voulez une install propre d’un site ou blog avec du SSL qui juste marche en front : FUYEZ WORDPRESS ! (Descriptif technique du problème ici)

Suite à une remarque il y a quelques minutes, non dénuée de sens, de @Dam_ned sur Twitter nous signifiant qu’il s’étonnait de ne pas voir Reflets.info accessible en https malgré un bon nombre d’articles traitant de Deep Packet Inspection, nous avons à l’instant configuré un certificat tout neuf pour vous. Vous pouvez donc maintenant tous accéder à Reflets en https via https://reflets.info

Comme nous ne faisons pas plus que ça confiance aux « tiers de confiance », nous avons nous même auto-signé notre certificat (./rebuild.sh étant la société qui édite le site Reflets.info), ne soyez donc pas étonnés si votre navigateur vous dit qu’il n’est pas fiable, pour nous il l’est plus qu’en passant par un tiers.

Le voici :

Twitter Facebook Google Plus email

36 thoughts on “Accéder à Reflets.info en HTTPS”

  1. Il faudrait réécrire le contenu des pages WordPress avant envoi au client. En effet, les images restent toujours en HTTP, de même que les éléments tiers qui indiquent de ce fait les pages consultées à qui utilise un DPI classique.

  2. Je vais te dire la même chose qu’à l’admin de copwatch : StarSSL propose la certification de classe 1 pour des certificats serveurs et personnels.

    Contrairement à CaCert, StarSSL est un CA reconnu sur Mac, IE, FF, Chrome et tout le tatouin.

    1. Oups, j’avais pas lu l’article jusqu’au bout ^^
      Et ouais, la norme X.509 date d’une époque où les arbres (logique) étaient à la mode. On est passé au graph entre temps et le X.509 glisse vers le WebOfTrust. GPG a cette mentalité : on peut multi-certifier son certificat par des proches.

      CaCert est aussi dans cette logique mais seulement administrativement. Les bases techniques sont toujours viciées. Si un jour tu veux créer un groupe de reflexion autour de l’euthanasie du X.509 et des mafias qui l’entourent, pense à moi

  3. Han et tu pourrais faire un effort. Ton certificat à pour « YOUR NAME » Bluetouff. Je sais, c’est un peu con mais il faut mettre reflets.info (voir un second avec http://www.reflets.info).

    Je re-passerai un peu plus tard t’engueuler sur ton groupe d’échange pas re-généré, les chiffrements autorisés trop faible, l’utilisation de OpenSSL au lieu de gnuTLS, … :)

    1. A propos de l’utilisation d’OpenSSL au lieu de GnuTLS : je me souviens d’avoir lu, sur le blog de Sid me semble-t-il, il y a quelques années cependant, que le code de GnuTLS était plutôt brouillon et la réaction de la devteam aux problèmes de sécurité était plutôt désastreuse. Peut-être cela a-t-il changé ?

      1. C’est surtout qu’on ne sait pas trop ce qu’il se passe derrière OpenSSL, que le TLS1.2 se fait attendre et que le choix des chiffrements dispo est un peu ‘vieux’.

        Mais le must de gnutls c’est la certification façon OpenPGP (la hiérarchie de certification et remplacer par la notion de réseau de confiance) : http://www.gnu.org/s/gnutls/openpgp.html.

        Ceci dit… j’utilise encore OpenSSL ^^’ (c’est chiant de passer sous gnutls avec un serveur nginx)

        1. Certes mais si j’ai bien compris, le problème du non-déploiement de TLS1.2 vient plus des navigateurs que des serveurs HTTP donc Reflets peut encore utiliser OpenSSL tranquillou.

          Ensuite, je ne contestais pas les avantages de GnuTLS, je ne faisais juste que demander si les critiques de code sale / mauvaise réaction de la devteam GnuTLS étaient encore d’actualité.

          1. C’est vrai que j’ai pas répondu à cette question ^^’
            Perso, j’ai jamais entendu parler de cette histoire et en cherchant je trouve un article illustré de 2008 qui en parle.
            On y voit une utilisation de pointeur de chaine sans protection de longueur et un bout de code pas franchement optimisé (issu d’un copie/colle d’une autre lib). Les dev admettent néanmoins que l’implé autour du X.509 a été bâclée…
            Je pense que ça a eu le temps de changer depuis :)

  4. Pour ceux qui viennent à JRES à Toulouse en novembre, excellent exposé sur « les clés dans le DNS » où comment remplacer X.509 par des clés mises directement dans le DNS et sécurisées par DNSSEC (le projet DANE).

    Ou bien attendez le premier RFC sur la question, qui devrait sortir dans un mois à peu près.

  5. Faudrait placer la hiérarchie (root + intermédiaire(s)) sur le site de manière qu’on puisse la télécharger et la placer dans nos navigateurs.
    Ainsi ces derniers ne râleraient plus.
    Le fait qu’ils râlent est dangereux et annule pratiquement l’intérêt d’un certif !!!! et donc du HTTPS.
    Car, à force de cliquer OUI à chaque fois qu’il râle on ne verra pas le jour où il râlera pour une bonne raison : certif expiré, certif révoqué (encore qu’il n’y a pas de OCSP ou de récup. possible de la CRL au vue du certif), MITM, etc.

    Ah oui, ET PLACER un URL de récup de la CRL, bon sang !
    db

  6. FAIL les mecs

    Désolé, mais là sur ce coup vous vous êtes complètement décrédibilisé :

    – pas capable de générer un certificat autosigné correct
    – plus de deux jours après que l’on vous ai signalé les problèmes, le site ne fonctionne toujours pas en HTTPS
    – vos versions de OpenSSL ne sont pas à jours : OpenSSL/0.9.8g

    C’est facile de faire de billets sur les failles des autres sites, mais ils faudrait d’abord etre irreprochables sur le votre, là vous passez vraiement pour des amateurs.

    1. Hello ,

      1° Je génère le certif que je veux avec les infos débiles que je veux
      2° SSL est up to date sur une Lenny (oui on est en lenny encore car lenny est toujours maintenue par l’equipe de sécurité de debian), si tu as un truc à leur dire je t’invite à remonter l’exploit de la mort que tu as trouvé sur notre version d’openSSL
      3° le problème est lié à wordpress dont un prodigieux développeur a décidé de stocker url absolues ET protocole en db et je te mets au défi de trouver une solution propre au lieu de te la ramener … pour que tu comprennes mieux le problème merci de lire ca : http://pastebin.com/tz9ZxLLa

      En outre les 2 jours sont principalement lié au fait que j’ai aussi un vrai travail et une vie

      Donc tu es mignon avec tes remarques à la con mais si tu as une solution au problème propose un patch a debian, a wordpress et reviens troller après stp… merci

      1. 1° Je génère le certif que je veux avec les infos débiles que je veux

        Pas très « pro » comme remarque. Que tu mette ce que tu veux dans les champs Organization et Organization Unit pas de problèmes, par contre Common name doit correspondre au nom du virtual host, cela a été signalé par d’autre personnes.

        2° Ok.

        3° le problème est lié à wordpress dont un prodigieux développeur a décidé de stocker url absolues. Ok aussi, mais si ca ne marche pas, on fait un rolback : on ne laisse pas une configuration broken.

        Désolé aussi, pour moi ce n’est pas du trolling : vu les positions que vous avez sur pas mal de sujets techniques, je considère que vous devez etres « irréprochables » sur votre propre site, comme je le disait, c’est juste une question de crédibilité.

        Ca ne marche pas, et pour de « bonnes raisons » : on explique (par transparence) et on fait un rollback, il n’y a rien de mal en ca.

        Par contre laisser un truc cassé en ligne, pour moi c’est pas très top.

        PS : en fait je suis plutot un grand fan de votre site, et donc non, ce n’etait pas du trolling.

        PS2 : je vais regarder un peu le problème technique sur worldpress

        1. Common name doit correspondre au nom du virtual host, cela a été signalé par d’autre personnes. —> certif généré à l’arrache et posé en l’espace de 20 minutes tout compris je te l’accorde c’est gore, ce qui va suivre ne pardonne rien mais voila …
          comme te disais, lamachine est en lenny, j’avais initialement de la migrer sur squeeze, mais voila elle heberge autre chose que du php (python/zope) et j’ai donc un plan de migration _propre_ : tout bouger sur une autre machine, reinstaler completement celle ci … puis tout remigrer .. les dist-upgrades et moi ca fait 4

          2° le certif que tu vois ici etait initalement fait _uniquement_ pour securiser l’admin et n’avais pas pour vocation à être public et je l’utilise aussi pour d’autres trucs que reflets..;

          3° pour etre irréprochable il faut du temps tu le sais, hors en ce moment je n’en ai pas des masses pour plein de raisons. La première étant que le Net commence à m’emmerder royalement. Nous ne sommes pas _du tout_ irréprochables, nous sommes des gus de garages

          Enfin la je te repond depuis un train … en pseudo 3G et aussi con que ca puisse parait .. desolé c’est vrai j’ai pas eu le temps de fixer quoi que ce soit depuis dimanche, je n’etais d’ailleurs meme pas chez moi et je n’ai même plus de laptop qui me permette d’avoir plus de 45minutes d’autonomie

          Si c’est encore en ligne c’est tout simplement parce que pour le login et l’admin ca fait ce que je veux. Et oui j’aurai du répondre sur ce thread avant là dessus j’ai bien fauté ;)

          Pour le PS1 : merci ;) désolé de briser un mythe

          Pour le PS2 : les seules solutions que j’ai trouvé sont ultra sales : changer les urls ou jouer avec mod substitute (dont j’ai toujours pas regardé la moindre doc pour le moment), rien ne me convient, donc je préfère continuer à insulter le dev wp qui a fait cette monumentale connerie et même envisager une migration sur un vrai CMS, ce sera Drupal ou Plone. C’est triste mais malgré ses qualités WordPress a des défauts de conception impardonnables à ce niveau

  7. Salut Mon touftouf,

    je connais le problème et à ma connaissance, il n y a pas grd chose à faire de propre dans ce cas precis. je sais qu’il existe un script sh qui permet de recup toutes les urls des objets presents en BDD et va ensuite faire un htaccess de porco blindé de rewritecond,rewriterules…je te pasterai le lien si je le retrouve.

    Sinon tu devrais changer ta conf apache pour mettre ServerTokens Prod
    ServerSignature Off
    et ptet meme ton php.ini pour expose_php = Off

    c’est mieux que de montrer ce que tu caches à la cave ;-)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *