La Fibre

Télécom => Réseau => reseau Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 17 janvier 2017 à 09:39:21

Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 09:39:21
Après près de 5ans avec un certificat StartCom, LaFibre.info passe à Let's Encrypt

(https://lafibre.info/images/ssl/logo_letsencrypt.svg)

Le but de l'opération :

- Régler un bug de Windows qui fait que Chrome pense que la connexion n'est pas sécurisé, dans certains cas avec StartCom (sachant que ces mêmes utilisateurs devraient être complètements bloqués dans la prochaine version de Chrome). Cf Pb https barré en rouge (https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/) et This page is insecure (broken HTTPS). SHA-1 deprecated ! (https://lafibre.info/cryptographie/this-page-is-insecure-broken-https-sha-1-deprecated/)

- Activer l'OCSP Stapling pour accélérer le chargement de la première page. Il y avait un bug qui faisait que l'on pouvait se retrouver sans accès au site (cf OCSP Stapling (https://lafibre.info/cryptographie/ocsp-stapling/)

- Ne pas avoir à payer un certificat wilcard StartCom (il arrivait à expiration dans quelques semaines)

- Être plus représentatif de l'Internet, Let's Encrypt chiffre déjà 20 millions de sites web et il devrait être le principal certificat dans quelques années. J'ai pour ce faire repris la configuration par défaut proposée par Let's Encrypt.


Seule régression : la taille de la clé RSA est passée de 4096bits à 2048bits. J'imagine que si Let's Encrypt crée des clefs de 2048bits et pas plus, il y a une explication logique. Si vous l'avez, je suis preneur.


Merci de me signaler le moindre problème que vous rencontrez avec le https de LaFibre.info ou un autre site que je gère comme https://iperf.fr ou https://testdebit.info qui sont eux aussi passés à Let's Encrypt
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 09:44:17
Les notations n'ont pas évolué : (cliquez sur les miniatures ci-dessous pour zoomer)

Qualys SSL Labs (https://www.ssllabs.com/ssltest/) avant :Qualys SSL Labs aujourd'hui :
(https://lafibre.info/images/ssl/201701_qualys_ssl_labs_avant_mini.png) (https://lafibre.info/images/ssl/201701_qualys_ssl_labs_avant.png)
(https://lafibre.info/images/ssl/201701_qualys_ssl_labs_apres_mini.png) (https://lafibre.info/images/ssl/201701_qualys_ssl_labs_apres.png)

Observatory by Mozilla (https://observatory.mozilla.org/) avant :
Observatory by Mozilla aujourd'hui :
(https://lafibre.info/images/ssl/201701_mozilla_avant_mini.png) (https://lafibre.info/images/ssl/201701_mozilla_avant.png)
(https://lafibre.info/images/ssl/201701_mozilla_apres_mini.png) (https://lafibre.info/images/ssl/201701_mozilla_apres.png)

CryptCheck (https://tls.imirhil.fr/) avant :
CryptCheck aujourd'hui :
(https://lafibre.info/images/ssl/201701_cryptcheck_avant_mini.png) (https://lafibre.info/images/ssl/201701_cryptcheck_avant.png)
(https://lafibre.info/images/ssl/201701_cryptcheck_apres_mini.png) (https://lafibre.info/images/ssl/201701_cryptcheck_apres.png)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 09:46:55
L’ancienne configuration de /etc/apache2/mods-available/ssl.conf :

Code: [Sélectionner]
        SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
        SSLProtocol All -SSLv2 -SSLv3
        SSLHonorCipherOrder On
        SSLCompression off

La nouvelle configuration de /etc/apache2/mods-available/ssl.conf basé sur la conf Let's Encrypt par défaut + activation de OCSP Stapling :

Code: [Sélectionner]
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLUseStapling on
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/stapling_cache(150000)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: alain_p le 17 janvier 2017 à 09:54:31
La durée du certificat est de 3 mois ?

(https://lafibre.info/images/ssl/201701_infos_certificat_letsencrypt_lafibreinfo.png)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 09:55:37
La durée des certificats Let's Encrypt est de 3 mois et est automatiquement renouvelé.


J'ai profité de l’occasion pour faire une autre modification, afin de mieux sécuriser et préparer la sortie de Internet Explorer 8 sous Windows XP :

Quand une personne scan des IP, elle tente ensuite de trouver des failles de sécurité pour s'introduire.
Une solution que j'utilise est de mettre une page vide si la requête ne se fait pas avec le nom de domaine.
Toutefois il existe une astuce pour trouver le nom de domaine : le récupérer dans le certificat SSL.

Depuis hier, je ne présente plus le certificat sans le bon nom de domaine.

Conséquence : Internet Explorer sous Windows XP, qui ne gère pas le Server Name Indication (SNI) (https://fr.wikipedia.org/wiki/Server_Name_Indication) récupère le mauvais certificat et affiche une erreur qu'il est facilement possible d'ignorer :

Internet Explorer 8 sous Windows XP :
(https://lafibre.info/images/ssl/201701_ssl_windows_xp_ie8_1.png)

Il est toujours possible d'accéder au site web :
(https://lafibre.info/images/ssl/201701_ssl_windows_xp_ie8_2.png)

Le but est de voir si il y a vraiment des personnes qui doivent utiliser Internet Explorer avec Windows XP, avant de passer à un plus haut niveau de sécurité (suppression de 3DES), ce qui couperait complètement l’accès à Internet Explorer sous Windows XP.
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vtimd le 17 janvier 2017 à 09:58:51
Tu n'as pas de stat concernant le nombre et la fréquence d'utilisation d'IE sous XP ?
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 09:59:27
J'ai des stats, qui montrent qu'il y a des visites avec un user agent IE8 + Windows XP, mais certains pensent que ce sont majoritairement des robots ou des utilisateurs avec un user agent modifié.

J'ai regardé en détail les actions effectuées et les log semblent leur donner raison : ce sont des changement suspects, qui ne correspondent pas à un parcours client. (par exemple charger des pages sans jamais charger les images du site)


A noter, pour les amoureux de Windows XP, que vous pouvez utiliser Mozilla Firefox ou Google Chrome pur accéder à LaFibre.info sans erreur, avec le bon certificat (Server Name Indication fonctionne avec Firefox / Chrome, même sous Windows XP)

Firefox sous Windows XP :
(https://lafibre.info/images/ssl/201701_ssl_windows_xp_firefox.png)

Sous Windows Vista, toutes les versions de Internet Explorer sont supportées, même Internet Explorer 7 :
(https://lafibre.info/images/ssl/201701_ssl_windows_vita_ie7_1.png)

(https://lafibre.info/images/ssl/201701_ssl_windows_vita_ie7_2.png) (https://lafibre.info/images/ssl/201701_ssl_windows_vita_ie7_3.png)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: Hugues le 17 janvier 2017 à 10:10:26
Citation de: vivien le 17 janvier 2017 à 09:39:21
Seule régression : la taille de la clé RSA est passée de 4096bits à 2048bits. J'imagine que si Let's Encrypt crée des clé de 2048bits et pas plus, il y a une explication logique. Si vous l'avez, je suis preneur.

--rsa-key-size 4096 quand tu génère le cert:) cf : https://tls.imirhil.fr/https/weathermap.milkywan.xyz


Citation de: Hugues le 06 juin 2016 à 19:03:25
Premièrement, générer un certificat avec une clé 4096 Bits :

Pour une première génération :

Code: [Sélectionner]
sudo ./letsencrypt-auto certonly --rsa-key-size 4096
Pour un renouvellement (J'ai de gros soucis à ce niveau, d'ailleurs.)

Code: [Sélectionner]
sudo ./letsencrypt-auto renew  --rsa-key-size 4096 --force-renew
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 10:14:06
Mais pourquoi mettre par défaut une clé de 2048 ? Il doit exister une explication...
Titre: LaFibre.info passe à Let's Encrypt
Posté par: Gabi le 17 janvier 2017 à 10:47:03
C'est un point discuté sur le repo de Certbot (cf https://github.com/certbot/certbot/issues/489 (https://github.com/certbot/certbot/issues/489) et https://github.com/certbot/certbot/issues/2080 (https://github.com/certbot/certbot/issues/2080)).

Chacun avance ses arguments de compatibilité (genre Cloudfront qui supporte pas au-delà de 2048 bits) ou l'idée qu'on fera de l'ECC partout avant que le RSA 2048 tombe (perso j'y crois pas trop).


En tout cas, c'est une très bonne décision de quitter StartCom, qui est une autorité connue pour avoir sciemment triché depuis son intégration avec WoSign, en anti-datant des certificats signés en SHA-1. Il y a un petit résumé ici : https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ , et pour ceux qui ont un peu de temps à perdre, je vous recommande la lecture de l'historique qui a mené à cette conclusion : https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Titre: LaFibre.info passe à Let's Encrypt
Posté par: Nh3xus le 17 janvier 2017 à 11:24:25
Hugues m'a devancé pour le soucis du certificat en 4096 bits.

Pour les systèmes non-Debian-like, il faut utiliser certbot à la main, et configurer le SSL soit-même en conséquence.

Ce que j'ai fais sur mon auto-hébergement.
Titre: LaFibre.info passe à Let's Encrypt
Posté par: Hugues le 17 janvier 2017 à 12:18:20
Quelle drôle d'idée de ne pas utiliser Debian.
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 14:19:06
Citation de: Gabi le 17 janvier 2017 à 10:47:03
C'est un point discuté sur le repo de Certbot (cf https://github.com/certbot/certbot/issues/489 (https://github.com/certbot/certbot/issues/489) et https://github.com/certbot/certbot/issues/2080 (https://github.com/certbot/certbot/issues/2080)).

Merci pour les liens qui permettent de se faire son propre avis.

J'ai été convaincu pour rester à une clé de 2048 bits :
- Aucun travail académique suggère de mettre en place des clé plus longues que 2048 bits.
- 2048 bits est largement convenu comme la norme de l'industrie est 97% des sites web ont une clé 2048bits.
- 4086 bits utilise 8x de cycles CPU par connexion et un peu plus d'octets à transférer.
- L'Institut national des normes et de la technologie (NIST) des États-Unis indique que RSA-2048 donne environ 112 bits de sécurité (LoS) et RSA-3072 donne environ 128 LoS. Il n'y a pas de recommandation formelle sur où réside RSA-4096, mais le consensus général est que Il viendrait quelque part autour de 140 bits LoS - 28 bits d'amélioration sur RSA-2048. C'est une amélioration si marginale qu'il est vraiment pas la peine de mentionner. [...] RSA-4096 n'est pas une mauvaise idée: c'est juste, en général, inutile. Vous gagnez très peu de résistance supplèmentaire au forçage brutal et à la cryptanalyse.
- 2048 bits devrait être ok jusqu'à environ 2030, et d'ici là tout le monde devrait utiliser quelque chose de mieux comme ECDSA ou EdDSA, donc il n'y a aucune bonne raison d'utiliser des clés RSA plus grandes.
- Si une clé RSA de 2048 bits n'est pas assez puissant, passer à ECDSA est beaucoup plus logique que d'utiliser des clés RSA plus grandes.
- Il pourrait y avoir des problèmes avec plus de clés qui n'ont pas encore été découverts, et l'utilisation de quelque chose trop hors de l'ordinaire n'est probablement pas souhaitable. Je pense à mon pb qui m'a fait abandonner OCSP Stapling il y a deux ans. Si cela se trouve avec une clé de 2018 bits je ne l'aurais pas eu.
- En cas de pb sur le 2048 bits, Let's Encrypt peut passer toutes les clé en RSA 4096 en mois de 90 jours (vu que la validité est de 3mois). La recommandation serait différente sur une clé OpenGPG ou SSH clé que vous pourriez utiliser pendant 20 ans ou même plus. Au passage pour OpenGPG : ils utilise une clé de 2048 bits par défaut.
- "Le cryptage réel entre le client et le serveur qui prend place utilise une clé temporaire négociée entre le client et le serveur qui n'est pas liée à la clé utilisée avec le certificat x.509. C'est ce dont vous avez besoin de s'inquiéter, n'utilisant jamais DH paramètres <2048 et de préférence en utilisant ECDHE. La clé privée pour le serveur n'a de pertinence dans l'établissement de l'identité du serveur, et RSA 2048 bits est certainement assez bon pour cela, surtout si vous suivez les meilleures pratiques pour générer une clé fraîche au moins une fois par an."


De l'autre coté les partisans d'une clé à 4096bits ont pour principal argument le fait que c'est largement supporté et donc "pourquoi s'en priver ?"
Il n'y a pas de démonstration de gain de sécurité.

De mon coté, cela m'a convaincu de rester sur une clé à 2048bits, pour ne pas dégrader les performances pour rien.
Titre: LaFibre.info passe à Let's Encrypt
Posté par: Electrocut le 17 janvier 2017 à 15:08:42
Citation de: vivien le 17 janvier 2017 à 14:19:06
- 2048 bits devrait être ok jusqu'à environ 2030, et d'ici là tout le monde devrait utiliser quelque chose de mieux comme ECDSA ou EdDSA, donc il n'y a aucune bonne raison d'utiliser des clés RSA plus grandes.

Pour justifier 4096 bits, j'allais citer le Référentiel Général de Sécurité (RGS) (https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/) publié par l'ANSII, mais je vois qu'ils ont assoupli leurs règles et recommandations :

Dans la version 2.0 de l'annexe B1 "Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques" (https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf), la règle est la suivante :
- minimum 2048 bits pour une utilisation ne devant pas dépasser l'année 2030
- minimum 3072 bits au delà

Dans la version 1.0 (https://www.ssi.gouv.fr/uploads/2015/09/RGS_B_1.pdf) de l'annexe, la règle était la suivante :
- minimum 2048 bits pour une utilisation ne devant pas dépasser l'année 2020
- minimum 4096 bits au delà
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 17 janvier 2017 à 19:19:38
Pour ceux qui utilisent un navigateur qui vérifie si le certificat est révoqué, avant d'afficher le site web (le seul navigateur qui fait cette vérification est Firefox) ils devraient gagner du temps lors de leur première connexion à LaFibre.info : La fonctionnalité OCSP Stapling, qui permet à Apache de cacher la réponse est maintenant activée.

Signalez moi si vous avez un problème et que Firefox n'arrive pas a ouvrir LaFibre.info, car les données OCSP Stapling ne sont pas à jour.

Explication du gain, pour le téléchargement d'un petit fichier :

(https://lafibre.info/images/ssl/201504_lafibre_avec_ocsp_stapling.png)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: hwti le 17 janvier 2017 à 22:32:41
Citation de: vivien le 17 janvier 2017 à 09:55:37
Quand une personne scan des IP, elle tente ensuite de trouver des failles de sécurité pour s'introduire.
Une solution que j'utilise est de mettre une page vide si la requête ne se fait pas avec le nom de domaine.
Toutefois il existe une astuce pour trouver le nom de domaine : le récupérer dans le certificat SSL.

Depuis hier, je ne présente plus le certificat sans le bon nom de domaine.
Est-ce que ça change quelque chose, à partir du moment où il suffit d'une requête DNS pour récupérer le nom de domaine, puisque le PTR est renseigné ?
Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 18 janvier 2017 à 08:44:14
C'est vrai pour LaFibre.info j'ai du renseigner le reverse DNS, mais ce n'est pas vrai pour d'autres machines.

Il y a aussi postfix qui donne le nom de domaine, cf https://www.shodan.io/host/46.227.16.8

Mon idée est juste de compliquer le travail.

Il a cet outil qui permet de voir les nom de domaines des serveurs voisins : http://www.tcpiputils.com/browse/ip-address/46.227.16.8 Je ne sais pas comment il fait, mais ce n'est pas le reverse DNS car il est capable de trouver plusieurs sites sur une même IP.
Titre: LaFibre.info passe à Let's Encrypt
Posté par: kgersen le 19 janvier 2017 à 21:45:58
Citation de: vivien le 18 janvier 2017 à 08:44:14
Il a cet outil qui permet de voir les nom de domaines des serveurs voisins : http://www.tcpiputils.com/browse/ip-address/46.227.16.8 Je ne sais pas comment il fait, mais ce n'est pas le reverse DNS car il est capable de trouver plusieurs sites sur une même IP.

ils font des réso DNS sur tout les domaines existants au monde (environ 350 millions a ce jour) et gardent en base les IP obtenues. Ils actualisent la base une fois par mois.

Citer
Our DNS crawlers try to resolve every domain name once per month

Titre: LaFibre.info passe à Let's Encrypt
Posté par: vivien le 19 janvier 2017 à 22:01:38
Je suis curieux : Comment avoir la liste des nom de domaines enregistrés ?
Titre: LaFibre.info passe à Let's Encrypt
Posté par: corrector le 19 janvier 2017 à 23:47:03
Citation de: Gabi le 17 janvier 2017 à 10:47:03
En tout cas, c'est une très bonne décision de quitter StartCom, qui est une autorité connue pour avoir sciemment triché depuis son intégration avec WoSign, en anti-datant des certificats signés en SHA-1. Il y a un petit résumé ici : https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ , et pour ceux qui ont un peu de temps à perdre, je vous recommande la lecture de l'historique qui a mené à cette conclusion : https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Oui, une autorité se doit d'être irréprochable; et si un incident arrive, d'être transparent et de ne pas prendre les gens pour des idiots.
Titre: La collection complète du DNS
Posté par: corrector le 20 janvier 2017 à 01:20:26
Citation de: vivien le 19 janvier 2017 à 22:01:38
Je suis curieux : Comment avoir la liste des nom de domaines enregistrés ?
De la même façon que Google?
Titre: LaFibre.info passe à Let's Encrypt
Posté par: ZmK le 20 janvier 2017 à 12:09:20
Citation de: vivien le 19 janvier 2017 à 22:01:38
Je suis curieux : Comment avoir la liste des nom de domaines enregistrés ?

https://crt.sh/?q=lafibre.info

ou

https://crt.sh/?q=%&iCAID=7395

peut-être ? :-)
Titre: LaFibre.info passe à Let's Encrypt
Posté par: kgersen le 21 janvier 2017 à 15:10:21
Citation de: vivien le 19 janvier 2017 à 22:01:38
Je suis curieux : Comment avoir la liste des nom de domaines enregistrés ?

Tu peux acheter des listes complètes ou recup des feeds quotidiens (par exemple: https://www.whoxy.com/newly-registered-domains/ )

l'afnic est tenu par la loi du publier des feeds quotidien aussi (https://www.afnic.fr/fr/produits-et-services/services/liste-quotidienne-des-noms-de-domaine-enregistres/).

la plupart des gros registrars proposent ce genre de service aussi.

une bonne piste: http://jordan-wright.com/blog/2015/09/30/how-to-download-a-list-of-all-registered-domain-names/