2017-08-08

Debian prévoit de désactiver TLS 1.0 et 1.1

La nouvelle a été annoncée ici. Mais concrètement quelles seront les conséquences ?

Depuis plusieurs années, le protocole de chiffrement TLS 1.2 est le protocole qui doit être préféré pour établir des connexion sécurisées (HTTPS notamment).
Alors que le futur protocole TLS1.3 est en cours de finalisation et d'adoption, dans le même temps, les vieux protocoles prennent petit à petit leur retraite, à l'image de SSLv3 décommissionné car vulnérable à la faille Heartbleed. Reste alors TLS1.0 et TLS1.1 qui sont d'anciens protocoles mais toujours utilisés.

Debian a décidé de les désactiver dans sa version unstable, c'est à dire la version de production prévue pour sortir d'ici 2 à 4 ans. La bibliothèque OpenSSL fournie par Debian pour son système d’exploitation sera configurée par défaut sans ces protocoles.
Ce dé-commissionnement suit les recommandations du PCI-DSS v3.2 , le PCI Security Standards Council.

Debian étant très utilisé sur Internet pour faire fonctionner des serveurs, il faut d'ores et déjà se poser la question de savoir si l'on peut se passer de TLS 1.0 et 1.1. TLS 1.1 étant très peu utilisé, sa disparition se verra à peine, mais TLS 1.0 est encore utilisé par un tiers du web. Il faut donc au plus tôt engager la migration vers TLS 1.2 et TLS 1.3.

Jusque là le problème principal était les applis bancaires. On pourrait s'attendre à ce que les banques montrent l'exemple et pourtant les banques se sont déjà illustrées en retardant au maximum la disparition de SSLv3, preuve d'un milieu qui n’avance que sous la contrainte.
Heureusement, la recommandation PCI-DSS est suivie à la lettre par les banques, qui s’adaptent déjà à ce changement comme Ingenico l’a annoncé.

Aujourd'hui, le web avance à marche forcée, à juste titre, alors comment vérifier si votre navigateur ou vos sites fonctionnent en TLS 1.2 ? Pour le navigateur, vous pouvez utiliser le test de Qualys SSL qui vous renseignera sur les protocoles et les ciphers (algorithmes) supportés.

Pour tester les sites web, vous pouvez utiliser au choix le test serveur de Qualys, qui attribue une note en fonction de la configuration sécurité, ou le site Cryptcheck d'Aeris qui propose la même chose mais est plus sévère sur les notes.

Merci d'ailleurs à Aeris d'avoir republié le message de la liste Debian.

2017-05-07

5 ans de répit

C_IxPChXsAAHvIG.jpg_large.jpg

Ce soir, c’est le candidat du centre qui a gagné.
Le fascisme, l’ennemi de toujours a été une nouvelle fois vaincu, malgré ses 21% au premier tour et malgré ses 34% au second tour, il a été vaincu.
Faut-il pour autant se réjouir, ou faut-il se remettre en question pour les 5 ans à venir ?

Lire la suite

2017-04-26

Revue du Web - 2017-W17

Chaque semaine, je vais partager des billets de blog intéressants, en rapport avec les sujets que je traite habituellement ici.

Lire la suite

2017-04-21

Nous sommes tous des abstensionnistes

Comme à chaque élection, le discours appelant à ne pas s’abstenir ressort. Où l’on explique que le vote est un devoir et que c’est le fondement de la démocratie. Mais pourquoi ce discours ressort seulement tous les 5 ans ? Parce que notre démocratie ne va pas bien.

Lire la suite

2016-11-21

Content Security Policy et javascript inline

Bug doclear csp

Comme vous le savez peut-être, je suis très orienté sécurité dans tout ce que je fais. Ainsi en plus du HTTPS je voulais activer les CSP (Content Security Policy) sur ce blog.

Lire la suite

2016-09-29

Apple est incompétent en HTTPS

Apple joue les innovateurs, souvent même se permet de donner aux leçons aux autres.

Mais dans beaucoup de domaines, Apple est juste incompétent. Volontairement ou par négligence, Apple menace le business model de certaines entreprises et pire, menace le modèle de confiance sur lequel repose HTTPS, c’est à dire l’authentification des sites Web.

Lire la suite

2016-08-28

Chistera-pi - un shield LoRa pour Raspberry Pi

kit-early-bird-up.jpeg

La société Snootlab, basée à Toulouse, a lancé cet été un crowdfunding pour développer un shield.
C'est la première fois que je participe à un crowdfunding, et je vient de recevoir le kit Early Bird, correspondant aux premières cartes produites, mais avec des accessoires sommaires. Voici une vue du kit Early bird.

Lire la suite

2016-08-22

Bonjour ami de Twitter

Si tu tombes sur cette page, c'est que tu viens de Twitter. Si jamais mon éventuelle non-activité t'inquiète, sache que je suis plus actif ailleurs et notamment ici. N'hésites pas à parcourir ce blog et à me rejoindre sur les réseaux sociaux suivants : Diaspora : solarus@diasp.eu GNU/Status :  […]

Lire la suite

2016-07-12

Tester TLS 1.3 avec Firefox

about-nightly.png

HTTPS n’est qu’un nom générique pour désigner le chiffrement du protocole HTTP grâce à TLS (anciennement SSL). TLS est disponible aujourd’hui en production sous sa version 1.2, mais la nouvelle version du protocole arrive.

Lire la suite

2016-07-04

Pourquoi remplacer Google par Qwant est une connerie

qwant_IPv6.png

Ce matin, Mozilla a annoncé un partenariat avec Qwant pour le proposer avec Firefox. Mais à l’heure actuelle, il est idiot de remplacer Google par Qwant, explications :

Lire la suite

2016-05-04

IPv6 et Linux Mint

Linux_Mint_Firefox_IPv6.png

Si vous utilisez Linux Mint, vous devriez faire attention à un paramètre. Pour une raison étrange, ils ont bidouillé un paramètre de Firefox pour désactiver l’utilisation d’IPv6 par Firefox. Pour corriger cela, ouvrez la page about:blank , cherchez le paramètre network.dns.disableIPv6 et passez le à  […]

Lire la suite

2016-03-02

IPv6 fixe sur SFR pour un serveur

dmz-ipv6-sfr.png

Si vous avez une connexion SFR, vous aurez peut-être envie d'autohéberger un serveur chez vous. La configuration de l'IPv4 et du NAT entrant est assez connue, mais configurer une IPv6 fixe et ouverte à Internet est moins évident. Voici la marche à suivre :

Lire la suite

2015-12-07

Voyage à Bercy

Jeudi, je reçois un email dans ma boite aux lettres, Madame la Secrétaire d’État au Numérique Axelle Lemaire, vous invite , le lundi suivant, à une réunion concernant vos contributions sur le Projet de Loi Numérique. En effet, deux semaines auparavant, j’avais participé à la contribution officielle  […]

Lire la suite

2015-10-24

Chronique CPU : Le temps

Bonjour chers élèves.

Le cours d'aujourd'hui est un peu particulier, puisque nous allons parler d'histoire mais surtout de temps.

Car qui dit passé, présent ou futur, évoque une notion de temps. Hors qu'est-ce le temps ? Et bien sachez qu'il est très difficile de définir le temps par autre chose que par lui-même. Vous pouvez essayez de le définir comme un l'intervalle entre deux événements ou n'importe qu'elle autre analogie, vous finirez toujours par utiliser des notions de temps, on parle alors de "tautologie" (qui n'est pas la science des blagues de Toto). Tout comme Dieu est un dieu, le temps est le temps. Quel que soit le langage que vous utilisiez, vous définirez toujours le temps par lui-même.

Lire la suite

2015-08-01

Conférence : La Neutralité du Net

Il y a quelques temps on m'a demandé de donner une conférence à propos de la Neutralité du Net.
Vous trouverez en lien, le fichier Open Document et le PDF de cette conférence.
Ce document est mis à disposition selon la licence CC-0 afin d'être ajoutée au domaine public volontaire.
Vous pouvez selon cette licence, le télécharger, le copier, le redistribuer, le modifier librement.
Aussi si vous améliorez ce document, je vous serais très reconnaissant de le republier sous cette même licence et de m'en avertir, afin qu'un maximum de personnes puissent en profiter.

D'autres présentations de conférences paraîtront également sur mon blog au fur et à mesure.
Restez branchés et abonnez vous à mon fil RSS pour être au courant des nouveaux articles.

Lire la suite

2015-05-28

La SNCF a un train de retard

raildar.jpg

Mon grand père m'a toujours dit : "Quand on est pas content de quelque chose il faut le faire soi-même. C'est l'histoire originelle de Raildar.fr, petit site imaginé et développé par Turblog. Le principe est simple, assembler les données en temps réel d'Infolignes pour en faire une carte.

Lire la suite

2015-01-07

Nous sommes tous des dessinateurs

070115.jpg

2014-09-08

Utiliser le chat Facebook sans Facebook Messenger

playstore-fbmessenger.png

Depuis quelques mois déjà, le réseau social Facebook a décidé de rendre obligatoire l'utilisation de son application Messenger pour chatter depuis les mobiles Android et iOS. Cette décision est très critiquée par les utilisateurs, notamment à cause du nombre étrange de permissions demandées par l'application, il suffit de lire les avis sur le Play Store. playstore-fbmessenger.png

Lire la suite

2014-04-08

Comment réagir face à Heartbleed

Aujourd'hui mardi 8 avril 2014, une faille nommée "Heartbleed" a été découverte sur OpenSSL http://heartbleed.com/ OpenSSL est utilisé pour gérer les certificats X.509 et le chiffrement SSL/TLS. Beaucoup d'applications font appel à OpenSSL, notamment Apache pour le HTTPS, mais aussi les  […]

Lire la suite

2014-03-19

Debian retire CACert de sa base de certificats

CACert est une autorité de certification (AC ou CA en anglais) chargée de délivrer des certificats "SSL" ou plus exactement X.509. L'utilisation la plus répandue de ces certificats est l'authentification et le chiffrement HTTPS. CACert est unique en son genre car c'est la seule autorité de  […]

Lire la suite

- page 1 de 3

Haut de page