Auteur Sujet: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https  (Lu 9976 fois)

0 Membres et 1 Invité sur ce sujet

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #12 le: 23 janvier 2019 à 15:22:46 »
Ouai ya vraiment autant de pour que de contre en fait.
Donc si dans ta situation, tu juges plus d'un coté que de l'autre , ben tu pencheras vers ce coté là ^^

C'est en tout cas comme ça que je raisonne

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #13 le: 23 janvier 2019 à 16:32:11 »
http ca permet le cache local (via un proxy par exemple) sans modifier les sources ou CA sur les machines. Quand on a plein de machines ca  peut jouer sur la connexion Internet.

Activer https ne veut pas dire obligatoirement dropper http ;)
ni même de l'activer par défaut.

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #14 le: 23 janvier 2019 à 18:52:00 »
On notera que le site a probablement été mis à jour très récemment pour y ajouter le texte suivant en introduction : "(This site represents the status quo as it was some time ago, particularly before CVE-2019-3462. It does not represent my personal opinion nor that of Debian/Ubuntu.)".

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #15 le: 23 janvier 2019 à 19:05:39 »
Ah oui je n'avais encore jamais vu un message "It does not represent my personal opinion nor that of Debian/Ubuntu."

Cela donne bien ça en Français ? "Cela ne représente pas mon opinion personnelle, ni celle de Debian/Ubuntu."

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #16 le: 23 janvier 2019 à 19:08:25 »
Oui, c'est bien ça.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #17 le: 23 janvier 2019 à 20:05:13 »
J'ai relancé ma demande de https sur https://bugs.launchpad.net/ubuntu/+bug/1464064

STRAT38

  • Invité

FloBaoti

  • Abonné MilkyWan
  • *
  • Messages: 1 300
  • 34
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #19 le: 23 janvier 2019 à 21:55:53 »
Sur Debian j'utilise ces dépots https depuis quelques mois :
https://cdn-aws.deb.debian.org/debian/
https://cdn-aws.deb.debian.org/debian-security/

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #20 le: 01 février 2019 à 15:09:02 »
Je pense que cela va bouger, vu les nombreuses interventions argumentées demandant le passage au https par défaut sur https://bugs.launchpad.net/ubuntu/+bug/1464064

Extraits traduits :

La dépendance d'Ubuntu uniquement aux signatures PGP pour la sécurité des paquets et des téléchargements .iso met la communauté en danger.

Ces dernières années, plusieurs vulnérabilités APT ont créé des vulnérabilités d'exécution de code à distance pour les systèmes Ubuntu. Il est irresponsable de ne laisser aux opérateurs de système aucune option pour se protéger contre ces vulnérabilités.

Chaque version de LTS depuis 10.04 a été affectée par au moins une vulnérabilité RCE dans APT qui aurait été atténuée par les miroirs HTTPS.

https://usn.ubuntu.com/3863-1/ CVE-2019-3462
https://usn.ubuntu.com/3156-1/ CVE-2016-1252
https://usn.ubuntu.com/2353-1/ CVE-2014-6273
https://usn.ubuntu.com/2348-1/ CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490
https://usn.ubuntu.com/2246-1/ CVE-2014-0478
https://usn.ubuntu.com/1762-1/ CVE-2013-1051

De telles vulnérabilités sont graves car elles rendent difficile, voire impossible, l’amorçage sécurisé d’un système Ubuntu à partir d’une image de CD de version officielle.

Il est particulièrement flagrant que security.ubuntu.com ne soit pas disponible sur TLS, car de nombreux systèmes continuent de faire référence à http://security.ubuntu.com même lorsqu'ils utilisent un miroir principal distinct prenant en charge le protocole HTTPS.

En plus d'empêcher l'exécution de code à distance, HTTPS améliorerait également la confidentialité.

Etant donné que les PPA Launchpad ne sont disponibles que sur un HTTP non sécurisé, toute personne utilisant un PPA qui leur est associé divulguera leur identité sur le réseau chaque fois que la mise à jour est exécutée, ce qui peut durer plusieurs fois par jour.

Il est particulièrement inexcusable que ppa.launchpad.net ne livre pas de paquets via HTTPS car, même s'il possède un certificat HTTPS valide, il répond par un message 404 Introuvable au lieu de renvoyer du contenu PPA. [1]

Il existe de nombreux domaines de la communauté Internet où le consensus est passé de HTTP par défaut à HTTPS sécurisé par défaut. La politique du gouvernement américain exige désormais le protocole HTTPS pour tous les sites Web et services Web fédéraux américains, sans distinction entre les cas d'utilisation de navigateur et de non-navigateur. [2] Le W3C recommande désormais à la plate-forme Web de préférer activement le protocole HTTPS. [3] L'IAB recommande que tous les nouveaux protocoles utilisent le cryptage pour des raisons de confidentialité. [4] Ces dernières années, Google Chrome a décidé de traiter HTTPS comme système par défaut, marquant explicitement les connexions HTTP en texte brut comme non sécurisées via une icône d'avertissement plutôt qu'une présentation neutre. [5] L’IETF a déclaré dans la RFC 7258 que la surveillance généralisée est une attaque que la communauté Internet devrait traiter par le biais d’un cryptage et d’autres moyens. [6]

Il est temps que Ubuntu fasse de même.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #21 le: 23 février 2019 à 20:54:28 »
Fait exceptionnel, ce bug APT va entraîner de nouvelles ISO pour Ubunut 16.04 alors qu'il n'était plus prévu d'en sortir.

Ubuntu 16.04 est sortie en avril 2016 mais il est maintenu gratuitement pendant 5 ans (8 ans en payant)

Pendant ses deux premières années de vie, des nouvelles ISO sont réalisée tous les 6 moins, intégrant tous les correctifs publiés + un nouveau noyau / nouveau serveur x, pour prendre en charge les PC de dernière génération.
Normalement la dernière iso disponible et la .5 (Ubunu 16.04.5)

Une version .6 (Ubuntu 16.04.6) sera disponible début le 28 février 2019, intégrant tous les correctifs publiés, dont le correctif sur APT, ce qui permettra a de nouveaux ordinateurs installés avec Ubuntu 16.04 de ne pas avoir la vulnérabilité.


Pour Ubuntu 18.04, la version Ubuntu 18.04.2 sortie le 14 février 2019 corrige  le bug (et apport le kernel 4.18, cf Linux 4.18 : gain de performance sur certains serveurs

L'annonce traduite :
À la lumière de la vulnérabilité apt récemment découverte et corrigée, nous avons décidé de reconstruire toutes nos isos supportées qui pourraient être potentiellement affecté.
Nous n'avions pas prévu une autre libération d'Ubuntu 16.04 mais bon, que pouvez-vous faire? La sécurité est importante.

Nous avons préparé la première série d’images ISO xenial 16.04.6 prêtes pour l'étape "testing"
La sortie a été fixée au 28 février.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #22 le: 01 mars 2019 à 19:21:15 »
Ubuntu 16.04.6 est disponible.

C'est la dernier ISO pour la version 32bits d'Ubuntu ou Ubuntu server.

Si vous cherchez les fichiers .iso, il sont sur https://soft.lafibre.info/

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #23 le: 10 octobre 2020 à 19:01:24 »
Je reviens sur ce sujet ancien.

Il a fallu batailler, cf ma première demande pour avoir du https :

Question posée à Canonical en marge d'un échange sur push mirroring : Is-it possible to reference on https://launchpad.net/ubuntu/+mirror/bouygues-telecom hosting Ubuntu mirror in http secure (https in addition of http and rsync)

Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?

Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.


La  réponse : So, short answer, there's no reason you can't drop FTP, as far as I know it's not a requirement for even a country mirror.  In terms of adding HTTPS, there's quite a bit of complexity there and it's something we've been discussing but haven't reach a point where there's a good path going forward.  We'd have to manage the SSL certificate for you, for example, if you wanted to support HTTPS on the fr.archive.ubuntu.com virtual host, among other things.  It is something we're actively working on supporting and have a strong interest in doing, though I can't give you a timeline for it.

Traduction rapide de la réponse : Donc, pour répondre rapidement, il n'y a aucune raison pour laquelle vous ne pouvez pas abandonner le FTP, pour autant que je sache que ce n'est même pas une obligation pour un miroir de pays. Pour ce qui est de l'ajout du protocole HTTPS, cela entraîne beaucoup de complexité et c'est quelque chose dont nous avons discuté, mais qui n'est pas prêt. Nous devrons gérer le certificat SSL pour vous, par exemple, si vous souhaitez prendre en charge HTTPS sur l'hôte virtuel fr.archive.ubuntu.com, entre autres choses. C'est quelque chose que nous travaillons activement à soutenir et qui nous intéresse vivement, même si je ne peux pas vous donner un échéancier.

Celle de février 2020 était la bonne : https://bugs.launchpad.net/ubuntu/+bug/1464064/comments/34

HTTPS a été proposé sur l'interface d'enregistrement des miroirs en mars 2020 (mais au début, cela a provoqué des bugs, le miroir était supprimé quand on le rendait disponible en https)

Aujourd'hui FTP est toujours supporté, comme HTTP, mais il y a une hiérarchie :
- Si un serveur propose FTP, HTTP et HTTPS, seul HTTPS sera proposé dans l'interface pour sélectionner son miroir. HTTP et FTP ne sont plus proposés.
- Si un serveur propose FTP et HTTP, seul HTTP sera proposé dans l'interface pour sélectionner son miroir. FTP n'est plus proposé.

Le serveur que je gère, https://ubuntu.lafibre.info/ qui est également utilisé par défaut pour la France, mais en http (il n'y a pas d'utilisation du https par défaut).

Il est hébergé par Bouygues Telecom et disponible en IPv4 et IPv6.
Des statistiques sont disponibles sur son utilisation, mises à jour toutes les 5 minutes : https://ubuntu.lafibre.info/stats/stats_server.html




J'ai essayé de contacter tous ceux qui maintenant un miroir Ubuntu en France et j'ai réussi à en faire passer certains en https.

Le serveur Université de Picardie : https://ftp.u-picardie.fr/ (disponible en IPv4 et IPv6)


Le serveur Ikoula : https://mirror.ubuntu.ikoula.com/ (disponible en IPv4 et IPv6)


La liste de différents serveurs miroirs Français et la bande passante associée :


A noter que de plus en plus de PC sont proposés avec Ubuntu pré-chargé.

Chez Lenovo, voici les modèles concernés :
- ThinkPad T14 (Intel et AMD)
- ThinkPad T14s (Intel et AMD)
- ThinkPad T15p
- ThinkPad T15
- ThinkPad X13 (Intel et AMD)
- ThinkPad X13 Yoga
- ThinkPad X1 Extreme Gen 3
- ThinkPad X1 Carbon Gen 8
- ThinkPad X1 Yoga Gen 5
- ThinkPad L14
- ThinkPad L15
- ThinkPad P15s
- ThinkPad P15v
- ThinkPad P15
- ThinkPad P17
- ThinkPad P14s
- ThinkPad P1 Gen 3
- ThinkStation P340
- ThinkStation P340 Tiny
- ThinkStation P520c
- ThinkStation P520
- ThinkStation P720
- ThinkStation P920
- ThinkStation P620