La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: DamienC le 22 janvier 2016 à 14:21:21
-
Salut à tous,
Je viens vers vous car j'ai une petite question, et j'espère que quelqu'un aura une réponse :-)
J'ai un blog sur lequel je documente ce que je réalise en cours de BTS.
J'ai installé un certificat Let's Encrypt sur mon site https://damien-cueff.fr/
Pas de problème, il fonctionne bien. Idem sur la page d'accueil de mon blog : https://damien-cueff.fr/blog/
Mais j'ai un problème: Dès lors que je consulte l'un de mes articles, par exemple: https://damien-cueff.fr/blog/installation-configuration-dopenldap-sur-un-debian-8-2/
Le certificat ne fonctionne plus correctement, il n'y a plus le cadenas et le navigateur m'averti que pirate tente peut-être de récupérer des informations :o
J'ai bien fait attention de mettre les images et les liens en HTTPS, mais rien à faire.
Savez-vous comment résoudre ce (petit) problème? J'utilise nginx et wordpress.
Merci d'avance!
-
Il n'y a pas une image externe ? (Vers un autre domaine non https)
-
Dans mon cas sur cette page https://damien-cueff.fr/blog/ez-server-monitor-un-outil-simple-de-monitoring-linux/ La 1ere image est en http (je suis sur téléphone, désolé pour le manque de détail)
EDIT: la dernière de l'article aussi..
-
Il n'y a pas une image externe ? (Vers un autre domaine non https)
Après vérification, non. Mon wordpress utilise gravatar, au début je pensais que c'était à cause de ça, vu qu'il était en HTTP mais je l'ai passé en HTTPS et le problème est toujours présent.
N'y a-t-il pas un moyen de voir les éléments non sécurisés sans farfouiller les 500 fichiers de wordpress?
-
Dans mon cas sur cette page https://damien-cueff.fr/blog/ez-server-monitor-un-outil-simple-de-monitoring-linux/ La 1ere image est en http (je suis sur téléphone, désolé pour le manque de détail)
EDIT: la dernière de l'article aussi..
Oui effectivement, je dois les passer à la main en HTTPS, je ne l'ai pas fait partout. Je m'y met aujourd'hui.
-
Je penche aussi pour la ressource externe chargée avec la page , comme une image (mais pas seulement). Des fois sur lafibre.info, si tu es attentif, tu remarqueras le même cadenas avec le signe attention, quand des images externes sont insérées (et qu'elles ne sont pas envoyées en HTTPS, sinon le message n'apparaitra pas)
-
Je penche aussi pour la ressource externe chargée avec la page , comme une image (mais pas seulement). Des fois sur lafibre.info, si tu es attentif, tu remarqueras le même cadenas avec le signe attention, quand des images externes sont insérées (et qu'elles ne sont pas envoyées en HTTPS, sinon le message n'apparaitra pas)
Effectivement. C'est possible, il faudrait que je regarde chaque code source de chaque page pour voir ce qui n'est pas en HTTPS. C'est long et fastidieux quoi..
-
Entonnant car avec Wordpress, tu ne rentre pas l'url de l'image si tu utilises l'outil intégré donc tout devrait être en https.
Je suppose que tu n'a pas inséré les images http via l'outil de gestion de média intégré ?
-
Pas la peine d'aller bien loin, dans le code source j'ai déjà des images en HTTP. Or, dans mon article elle est bien en HTTPS. Je ne comprend pas ce que me fait Wordpress...
-
Il n'y a pas une option à régler dans la configuration générale ?
-
Entonnant car avec Wordpress, tu ne rentre pas l'url de l'image si tu utilises l'outil intégré donc tout devrait être en https.
Je suppose que tu n'a pas inséré les images http via l'outil de gestion de média intégré ?
J'utilise l'outil intégré pourtant. Mais je dois mettre le "s" à chaque lien dans l'éditeur HTML...
Et même quand je le modifie en dur, il persiste à mettre certaines images (pas toutes) en HTTP.
C'est énervant >:(
-
Il n'y a pas une option à régler dans la configuration générale ?
J'ai déjà fouillé 100% de l'administration, il n'y a rien qui fait référence à ça :/
-
Tous les liens dans WordPress (tels que les images jointes, CSS des thèmes, fichiers JavaScript) sont liés à l'URL d'installation, aussi pour changer votre WordPress de http en https, l'URL d'installation doit être changée: de http://monsite.com en https://monsite.com
Connectez-vous à votre tableau de bord WordPress et accédez à Réglages>>Général. Assurez-vous que l' adresse de WordPress (URL) et l'adresse du site (URL) soient bien en https.
http://wpformation.com/wordpress-http-https/
-
http://wpformation.com/wordpress-http-https/
Oh mince alors... Comment est-ce que j'ai pu passer à côté?! Merci buddy, ça fonctionne très bien maintenant...
Je me sent bête ::)
Problème résolu, merci encore!
-
Sinon, coté nginx, c'est bien configuré pour ne pas répondre en http et renvoyer vers le site en https.
-
Sinon, coté nginx, c'est bien configuré pour ne pas répondre en http et renvoyer vers le site en https.
Je crois que oui.
-
ton site n'a que B sur le test: https://www.ssllabs.com/ssltest/analyze.html?d=damien-cueff.fr
tu peux:
- configurer un DH a 3072 ou plus. par exemple:
sous un terminal, faire:
openssl dhparam 4096 -out dh4096.pem
(mettre le fichier dh4096.pem la ou y'a la conf nginx par exemple).
Puis ajouter dans la configuration nginx :
ssl_dhparam /etc/nginx/dh4096.pem;
Autre fignolages:
- rajouter HSTS
- limiter les cyphers (ssl_ciphers)
- supporter HTTP/2
t'as plein des infos en français ici: https://angristan.fr/configurer-https-nginx/
pour les ciphers, j'ai mis cela:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AE
S256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-
SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256
-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
ssl_prefer_server_ciphers on;
-
HTTP Strict Transport Security est nécessaire pour avoir un A+ sur SSL Labs
Pour HTTP/2, il faut une version bien plus récente de Nginx
Autre fignolages:
- Améliorer le temps de chargement avec certains navigateurs, en activant OCSP Stapling
(https://lafibre.info/images/ssl/201504_lafibre_avec_ocsp_stapling.png)
-
https://damien-cueff.fr/blog/installation-configuration-dopenldap-sur-un-debian-8-2/
^U ^F http:
On remarque de nombreux liens en http: dont
http://www.facebook.com/ ...
http://twitter.com
http://damien-cueff.fr/blog/wp-content/uploads/2015/09/6-1024x576.png
Quelle est ta logique pour mettre de tels liens alors que tu as l'air de comprendre l'importance du HTTPS?
-
^U ^F http:
On remarque de nombreux liens en http: dont
http://www.facebook.com/ ...
http://twitter.com
http://damien-cueff.fr/blog/wp-content/uploads/2015/09/6-1024x576.png
Quelle est ta logique pour mettre de tels liens alors que tu as l'air de comprendre l'importance du HTTPS?
Je ne vois que des images en HTTPS pour ma part...
Et je n'ai pas de liens vers Twitter ou Facebook sur mon blog
-
En fait si, mais c'est mon template qui fait ça tout seul :/
-
Il craint ton template.
Ces deux sites sont entièrement en HTTPS depuis très très longtemps.
-
Tu ne peux pas modifier ceci dans les sources ? Ou le signaler à la personne qui maintient le/ton template ?
-
Mais j'ai un problème: Dès lors que je consulte l'un de mes articles, par exemple: https://damien-cueff.fr/blog/installation-configuration-dopenldap-sur-un-debian-8-2/
Il y a un paquet de soucis évidents rien que sur cette page.
Pour commencer :
HEAD https://damien-cueff.fr/blog/wp-content/uploads/2016/01/ez-server-monitor@2x.png 404 (Not Found)
HEAD https://damien-cueff.fr/blog/wp-content/uploads/2016/01/ez@2x.png 404 (Not Found)
Mais là on ne parle pas du tout de crypto, juste de HTML.
-
En fait si, mais c'est mon template qui fait ça tout seul :/
Si c'est la faute de ton template et pas la tienne, à un moment, il faudra que tu nous expliques ce que représente pour toi un certificat qui affirme que c'est bien ton site, si ton site est un amas de choses non maîtrisées qui génèrent des erreurs 404.
HTTPS permet d'établir la traçabilité de l'information. Mais ton site contient des choses que tu ne contrôles pas!
-
Je ne vois que des images en HTTPS pour ma part...
Moi non plus. ;)
-
Autre fignolages:
- Améliorer le temps de chargement avec certains navigateurs, en activant OCSP Stapling
Ce n'est pas seulement un enjeu de rapidité, c'est bien plus important.
Le protocole OCSP (Online Certificate Status Protocol) pose problème en soi. Pas dans les détails du protocole, c'est le principe même de la vérification dynamique de statut de certificat qui n'est pas tellement bon.
C -> S : est-ce que le certificat n° XXXX est révoqué?
S -> C : oui/non/sans opinion/j'ai piscine/(pas de réponse)
Tu vois tous les problèmes que ça pose?
Déjà, beaucoup de gens pensent que ça permet de bloquer les certificats produits suite à une compromission d'une autorité. Wishful thinking! Quand les mécanismes de sécurité qui protège la machine qui détient la clé privée de certification sont contournés, si la clé privée est copiée c'est game over! On ne pourra pas lister les certificats à révoquer. En aucun cas un mécanisme de révocation des certificats clients ne pourra aider. Il faudra révoquer le certificat de l'autorité et donc faire tomber TOUS les sites qui en dépendent.
Cela n'irait pas sans protestations! On peut déjà imaginer toutes le protestations, les menaces de procès, etc. Il faut absolument protéger le protocole contre les menaces juridiques. On pourrait imaginer différents moyens : la Loi ou les contrats.
Et en fait ce n'est PAS conçu pour ce cas là. Le principe de la révocation de certificats est conçu pour le cas où des certificats ont été délivrés par erreur mais sous le contrôle de l'autorité qui sait exactement quels certificats doivent être annulés. Cela sert aussi si l'enregistrement d'un nom de domaine est révoqué, transféré, expiré, etc.
Il faut voir que la plupart des révocations ne sont pas liées à des fraudes; l'immense majorité des révocations est le fait d'une simple expiration d'un enregistrement.
-
Bon, le principe du mécanisme de sécurité est quand même de résister à une attaque, ici une attaque sur le réseau, en général près du client (souvent sur un Wifi ou 1er routeur NAT). Donc il faut supposer qu'on est face à un certificat révoqué pour fraude avec un attaquant qui intercepte les échanges, y compris les échanges OCSP.
Il faut imaginer alors :
1) qu'une attaque MITM a lieu
2) qu'elle utilise un certificat attribué par erreur par une autorité reconnue
3) que le certificat est révoqué
4) que le protocole OCSP est utilisé pour tenter de découvrir ce statut révoqué
Dans cas, rien n'empêche d'intercepter les messages OCSP, sauf que bien sûr les messages sont authentifiés : une réponse OCSP "non révoqué" doit être signée. En revanche, la réponse "mon chien a mangé la liste de révocation" n'est pas authentifiée - et surtout OSEF puisque ça veut dire que le statut de révocation ne peut pas être établi.
Donc un attaquant peut faire échouer la vérification OCSP.
Quoi d'autre peut faire échouer de la même manière la vérification?
- Un problème de connectivité vers le serveur OCSP.
- Une surcharge de ce serveur.
- Donc une attaque DDoS de ce serveur.
- Mais aussi une panne temporaire.
Cela signifie que le serveur OCSP est un gros point central de vulnérabilité du système TLS, tout comme les serveurs DNS sont des points centraux du net, mais bien sûr les serveurs DNS les plus importants sont répartis géographiquement, très fortement redondants, et ils n'ont qu'un tache triviale à accomplir avec précisèment zéro travail cryptographique.
C'est un très gros souci de conception protocolaire. Les protocoles Internet sont conçus pour ne pas créer de telles dépendances.
Cela doit "interpeller" comme on dit.
Et ça a une conséquence pour les concepteurs de logiciels : comment doivent-ils réagir à une indisponibilité d'un serveur OCSP?
-
OCSP Stapling permet de répondre a ce cas (attaque DDOS pour faire échouer la vérification OCSP) => c'est le serveur web qui stocke la preuve que le certificat n'est pas révoqué. Effet bonus le temps de chargement est plus rapide vu qu'il n'est pas nécessaire de se connecter a un serveurs tiers.
-
Pour vulgariser en faisant une analogie,
Cela pose la question du tiers de confiance et sa "signature", comment donner AAA à un tiers de confiance ?
Sachant que comme le notariat, la signature notariale authentifie envers tous les tiers, l'authenticité de l'acte.
Si on falsifie un acte, le notariat sert de "juge de paix"
Si le notaire est "malade" cela retarde tous les actes notariés et leurs conséquences.
Si le notaire est "malhonnête" que valent ses actes ?
Qui en dernier ressort est à même de qualifier les actes ?
Si on imite ta signature quel recours ?
Si on usurpe ton identité, comment s'en prévenir ?
Pour rendre plus robuste le protocole, on échappe pas à une analyse réelle de ces questions,cela va un peu au delà de la cryptographie en tant que telle.
-
Pour rendre plus robuste le protocole, on échappe pas à une analyse réelle de ces questions,cela va un peu au delà de la cryptographie en tant que telle.
La cryptologie connecte forcèment des outils basés sur de l'arithmétique, l'algorithmique, ... et des considérations sociales de confiance, de normes morales, de sanctions.
L'ordinateur valide des messages dans des protocoles. Les protocoles sont conçus en fonction de considérations pratiques.
Nous vivons en société, sous le poids du regard de l'autre. De nombreux actes sont en pratique modérés par le contrôle social.
Il faut aller au delà de la cryptologie, des signatures et des "notaires". Il faut considérer le logiciel libre, qu'en général personne ne lit en détail, personne ne valide, et seules les développeurs qui ont investi leur temps comprennent très vaguement. Le logiciel libre est contrôlé par la surveillance non pas du code abscond mais des développeurs les uns sur les autres.
Cela vaut aussi pour les éditeurs, qui peuvent tenter d'associer leur marque avec des notions de qualité, de robustesse, de sécurité, de respect de la vie privée.
Pourtant les grosses boites multiplient les bourdes et les trahisons. Pourquoi?
Je pense que c'est lié au règne de la médiocrité, de la bêtise, de l'irresponsabilité et du gauchisme ambiant (qui fait préférer IPv4 à IPv6).
-
Je te rejoins sur ces aspects.
Tu sais aussi bien que moi, que le navigateur ne donnera pas d'alerte si l'autorité de certification, ou tiers de confiance est validée par ceux qui éditent les navigateurs.
Rien n'empêche d'être sa propre autorité de certification,cela veut il dire que l'on peut moins y faire confiance ?
Sur le gauchisme et la médiocrité, tu sais déjà depuis longtemps que nous ne sommes pas d'accord,il faut éduquer les gens, c'est la seule arme contre les dérives liées à l'ignorance.
-
Mouais, il faut éduquer... il faut aussi responsabiliser.
Il faut arrêter de dire que si les Gogol Cars captent des données privées c'est de la faute de gogol. C'est de la faute de gens qui n'activent aucun protocole de sécurité sur leur Wifi (même pas WEP).
Il faut arrêter d'utiliser contre HADOPI le fait que certaines personnes ne savent pas activer la sécurité sur leur Wifi. SI on pense que le Wifi ouvert est une abomination pour la société, ALORS on peut bien forcer ces personnes à apprendre à régler leur Wifi. L'ignorance et l'incompétence ne sont pas des excuses. Soit on apprend à faire, soit on fait faire.
Ces deux cas ne sont que deux exemples récents de la normalisation de la médiocrité, l'incompétence et l'irresponsabilité.
D'autres exemples hors de l'informatique sont la culture de l'excuse et l'attribution de la responsabilité à un seul acteur, les cas les plus patents : juge Burgaud (promu, culture de l'incompétence en sein de la magistrature), procès Bettencourt (expertise juridique moisie prise pour argent comptant), vaccination H1N1 (responsabilité attribuée uniquement au Commandant du navire alors que tous les officiers étaient d'accord...).
Rien de ce que j'affirme n'est contestable ou même débattable!
-
OCSP Stapling permet de répondre a ce cas (attaque DDOS pour faire échouer la vérification OCSP) => c'est le serveur web qui stocke la preuve que le certificat n'est pas révoqué. Effet bonus le temps de chargement est plus rapide vu qu'il n'est pas nécessaire de se connecter a un serveurs tiers.
Autrement dit : OCSP Stapling est la SEULE façon viable de faire de OCSP.
-
Si le notaire est "malhonnête" que valent ses actes ?
La même chose qu'un arrêt de cour de cassation.
Il n'y a rien de plus fort juridiquement. Si un notaire dit que 2 et 2 font 5, alors tu auras du mal à soutenir le contraire. Faire rectifier ou annuler un acte notarié est très difficile, donc il faut vraiment être attentif quand on va chez un parasi pardon un notaire et bien surveiller ces escr pardon fonct pardon grands spécialistes du droit.
-
Rien de ce que j'affirme n'est contestable ou même débattable!
MDR
C'est bien pour cela, qu'il est préférable d'être son propre organisme de certificats.
Faire appel à un tiers de confiance même gratuit, cela enlève la procédure d'insertion de clefs dans son trousseau, mais cela s'arrête bien là.
C'est comme "un contrat bilatéral sous sein privé entre deux protagonistes".
-
Mais en pratique, comment fais-tu pour établir le lien de confiance?
Parce que c'est facile de critiquer le système de clefs publiques actuellement utilisé, mais c'est difficile de trouver un remplacement robuste qui passe bien à l'échelle - parce que s'il faut téléphoner à vivien pour authentifier son site, ça risque de vite le gonfler!
-
Il y méprise dans mon propos, je ne critique pas spécifiquement le système actuellement utilisé par vivien,c'est un propos général.
Du reste,mon opinion n'entre pas en ligne de compte.Chacun fais ce qu'il lui plais.
-
Je crois qu'on ne peut pas soutenir que le système actuel n'est pas bancal.
Enfin, il ne marche pas trop mal...
-
Dans mon cas sur cette page https://damien-cueff.fr/blog/ez-server-monitor-un-outil-simple-de-monitoring-linux/
Dans Google Chrome, afficher les informations sur la connexion au site (cliquer sur le cadenas), puis "Détails", puis recharger (F5), puis sélectionner les origines :