Messages récents

Pages: [1] 2 3 4 5 6 ... 10
1
reseau Protocoles réseaux sécurisés (https) / Vhost piège sur l'ip en https
« Dernier message par Groumph le Aujourd'hui à 02:30:43 »
Bonjour à tous,
j'ai pour des besoins modestes (2 tout petits sites) un serveur Apache 2.4 (Debian 9), sur lequel j'ai récemment installé Let's Encrypt, au passage merci encore à Vivien et ses explications au top sur "les erreurs à ne pas faire", j'en ai eu bien besoin ;D

Disclaimer : je suis une quiche en administration, ça c'est dit.
TL;DR : comment faire un Vhost "piège" sur l'IP en https avec un certificat auto-signé

Sur le port 80, j'avais mis en place le Vhost 000-default avec Require all denied afin de me débarrasser du bruit de fond du net vers le fichier de log principal d'Apache, et accessoirement éviter les liens entre mon IP et les sites que j'héberge (rien de bien méchant, c'est pour le principe, même si on peut retrouver les domaines à partir de l'IP avec le whois).

Sur ma nouvelle conf, tout est bien redirigé et à présent en HSTS, au top ! Cependant j'ai découvert la nécessité de fournir un certificat pour le handshake avant que le visiteur soit orienté vers le bon Vhost sous peine d'échec de connexion sur tous les sites, c'est très nouveau pour moi.
Ce qu'il se passe actuellement sur le 443 : j'ai site1.tld et site2.tld, avec chacun son certificat/logs séparés. Lors d'un accès sur l'IP avec https, le Vhost de site1.tld est utilisé (avec un avertissement "SSL_ERROR_BAD_CERT_DOMAIN" bien entendu).

Ce qui me dérange :
On voit le contenu de site1.com en forçant une exception de sécurité dans le navigateur (ou si le client l'ignore d'office). Pour éviter ce souci, j'ai ajouté "SSLStrictSNIVHostCheck On" dans mon ssl.conf (je bloque les requêtes avec un mauvais/sans Server Name Indication).

Mais on voit toujours que le certificat appartient à site1.com, et je préfèrerais avoir un log séparé des accès directs sur l'IP sur le 443.

Ma question est donc, comment reproduire ce qui est fait sur l'IP du serveur lafibre.info (cf image jointe), à savoir un Vhost piège en https avec un certificat auto-signé, qui si possible ne révèle pas mes noms de domaines mais permet que les handshakes avec SNI aboutissent au bon Vhost/certificat associé.

Bon, j'espère que c'est pas trop demander et que c'est intelligible. Par contre si c'est trop compliqué pour moi, je tenterai de comprendre vos réponses :P Merci de m'avoir lu !

Ajout extrait conf vhost site1.tld :<VirtualHost *:80>
ServerAdmin site1@gmail.com
        ServerName site1.tld
        ServerAlias www.site1.tld
Redirect permanent / https://site1.tld/
LogLevel warn
        CustomLog /home/site1/logs/redirect80.log combined
        ServerSignature Off
</virtualHost>
<VirtualHost *:443>
        ServerAdmin site1@gmail.com
        ServerName site1.tld
        ServerAlias www.site1.tld
        DocumentRoot /home/site1/public_html/
<Directory /home/site1/public_html/>
Options -Indexes +FollowSymLinks +MultiViews
Require all granted
#Oui c'est crade j'utilise un htaccess pour la redirection www vers non-www entre autres choses
AllowOverride All
</Directory>
SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/site1.tld/cert.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/site1.tld/privkey.pem
        SSLCertificateChainFile /etc/letsencrypt/live/site1.tld/chain.pem
        SSLProtocol all -SSLv2 -SSLv3
        SSLHonorCipherOrder on
        SSLCompression off
        SSLOptions +StrictRequire
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
        Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
LogLevel warn
        ErrorLog /home/site1/logs/error.log
        CustomLog /home/site1/logs/access.log combined
        ServerSignature Off
</VirtualHost>
2
Saint-Quentin-en-Yvelines (78 - Quentiop + AMII Orange) / Trappes
« Dernier message par spypredator le Aujourd'hui à 01:42:17 »
Eh bien, ce que le commercial m'a expliqué lors de la souscription c'est que sfr ne fournit que du fttla (fiber to the last amplifier). Même si mon appartement et la résidence sont cablés. Personnellement j'ai souscrit à leur offre 400 mega qui me suffit amplement. Mais la ligne peut aller jusqu'au gigabit.

Donc j'ai bien la fibre, mais elle est à terminaison coaxiale et non optique.
3
Loiret (45) / Ingré
« Dernier message par plaxa le Aujourd'hui à 01:16:50 »
Ici aucunes nouvelles.

La ville semble ne plus communiquer à ce sujet ou très durement, et concernant SFR qui devait faire une seconde réunion d'information en mars, celle-ci n'a pas eu lieu.

Je figurais parmi la première zone de raccordement, et malheureusement avec leur soit disant problème en aérien, rien ne semble avancer.

Le paradoxe dans tout cela c'est qu'orange à quand même amélioré son débit adsl ainsi que son réseau 4G. Là où mon voitin avait 3mega en adsl, ainsi que 6-8 mega max (en 4g) sur son téléphone, il sera retrouve maintenant avec 6-7 méga pour l'adsl et prêt de 30mega en 4g.

Super SFR, beaucoup de promesse mais plus rien ne semble avancer pour ceux qui sont en aérien !
4
« Une fibre point à point ça a un débit illimité, suffit de changer les optiques et hop »

Ah ben non. Tant pis ! Au moins c’est du 1Gbps optique, c’est mieux que du 1Gbps cuivre parait il  ::)
5
bistro Autre / King-Heberg: community manager maladroit ou hébergeur peu scrupuleux ?
« Dernier message par Hugues le Aujourd'hui à 00:59:25 »
C’est un gamin derrière ça, un énième hébergeur louche qui ne fera pas long feu, circulez, y’a rien à voir  ;)
6
bistro Autre / King-Heberg: community manager maladroit ou hébergeur peu scrupuleux ?
« Dernier message par Fabzoul le Aujourd'hui à 00:36:58 »
Bonsoir à tous,

ce soir je vois passer dans mon fil twitter un tweet qui souligne que KingHeberg utilise des images postées par un autre utilisateur sur Twitter il y a un certain temps. Aprés vérification de leurs différents tweet il s'avère qu'ils n'utilisent presque que des images prises sur internet (cf les pièces jointes). Comme je vois que Vivien les suit sur Twitter j'aurais eu tendance à penser qu'ils pourraient être un hébergeur assez sérieux, ce qui n'a pas l'air d'être le cas d'aprés les images car si ils avaient bel et bien les machines qu'ils prétendent avoir, quel intérêt de se tirer une telle balle dans le pied plutôt que de prendre en photo leurs infrastructures ? Encore un hébergeur qui fait passer des VMs pour du dédié ?

Je viens de voir qu'ils suppriment les différents tweets, normal donc si certaines URL que j'avais pourtant pris soin d'intéger aux screenshots ne sont plus valides.
7
Ardennes (08 - Zones AMII Orange) / La Grandville
« Dernier message par kris88 le Aujourd'hui à 00:26:18 »
Bonne nouvelle pour les Grandvillois :
Le conseil départemental a mis en ligne depuis peu les publications d'orange concernant les installations à venir pour la région.
Et St Laurent et La Grandville sont bien présentes https://www.cd08.fr/sites/default/files/publication-travaux-reseau-telecommunication-saint_laurent.pdf

Je pense que les travaux commenceront d'ici quelques semaines.  8)
8
Ouais en attendant quand on voit la qualité du replay, même pas en HD :P

Mais il reste encore Canal, sauf pour la gratuité TNT !


9
Orange 4G Orange / Orange pour free
« Dernier message par Freedor le Aujourd'hui à 00:00:04 »
Le réseau N°1 a quelques soucis par endroits, aucun réseau n'est le meilleur partout, comme le dit si bien S. Soriano...
Et puis bon, quitte à n'être couvert que par un site 3G ZB, autant profiter des avantages du forfait Free...
10
"Il ne sera pas possible de faire du 10 Gb/s en point à point..."

Tout le monde le savait. Peut être la meilleure blague quand on écoutait les fanboy ressasser inlassablement le discours sur le débit partagé, ou le monde entier était con sauf Free.

Il aura fallu attendre les années pour les faire taire.
Pages: [1] 2 3 4 5 6 ... 10
Mobile View