#https

A lot of recent articles about the #DoH (#DNS over #HTTPS) security protocol. Read carefully, there is a lot of bad faith, too.

A set of Internet actors wrote to the US congress to complain that activation of DoH by Google may deprive them of the spying and manipulation they’re used to ▻https://www.ncta.com/sites/default/files/2019-09/Final%20DOH%20LETTER%209-19-19.pdf

Summary of the issue in the Wall Street Journal ▻https://www.wsj.com/articles/google-draws-house-antitrust-scrutiny-of-internet-protocol-11569765637 (paywall, note how the Akamai spokeperson clearly states that they monitor DNS requests and want to continue to do so).

▻https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you (one of the few articles that do not copy blindly the discourse of the Internet operators and ISPs)

▻https://www.cnet.com/news/google-reportedly-under-antitrust-scrutiny-for-new-internet-protocol (based on the Wall Street Journal article, with a nice addition “cable and wireless companies being cut off from much of users’ valuable DNS surfing data”, which spills the beans.)

▻https://www.eff.org/deeplinks/2019/09/encrypted-dns-could-help-close-biggest-privacy-gap-internet-why-are-some-groups (#EFF opinion, with a strange idea “EFF is calling for widespread deployment of DNS over HTTPS support by Internet service providers themselves”, so asking DoH support by the very entities that you do not fully trust.)

#privacy

How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox
▻https://www.trishtech.com/2018/08/how-to-enable-dns-over-https-doh-in-mozilla-firefox

https://www.trishtech.com/wp/wp-content/uploads/2013/09/firefox-logo.jpg

How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox

Posted onAugust 8, 2018AuthorTrishaLeave a comment

When you visit a website, the web browser first translates the domain name (such as yahoo.com) to the IP address using the DNS server configured in your operating system. We actually offer a free tool Public DNS Server Tool that helps you quickly configure your Windows system to use one of the publicly available DNS servers.

But now Firefox browser (starting from version 62) has come up with a new feature called Trusted Recursive Resolver (TRR) which sets Firefox to use a secure DNS server of its own. For this feature, all the DNS resolution requests are sent over HTTPS and this is why only a DNS over HTTPS (DoH) complaint server can be used for this feature.

Here is how you can enable DoH in Firefox browser:

Type about:config in the address bar and press Enter.
When warning appears, click on the I accept the risk button.
In the search box type trr to find the settings we want.

#dns #DoH #dnsoverhttps #https

Ce que peut faire votre Fournisseur d’Accès à l’Internet
►https://framablog.org/2018/11/29/ce-que-peut-faire-votre-fournisseur-dacces-a-linternet

Nous sommes ravis et honorés d’accueillir Stéphane Bortzmeyer qui allie une compétence de haut niveau sur des questions assez techniques et une intéressante capacité à rendre assez claires des choses complexes. Nous le remercions de nous expliquer dans cet article … Lire la suite­­

#Claviers_invités #G.A.F.A.M. #Internet_et_société #Chiffrement #FAI #FFDN #GAFA #https #Internet #neutralité #Réseau #RFC #Snowden #Surveillance

RFC 8484 : DNS Queries over HTTPS (DoH)

Voici un nouveau moyen d’envoyer des requêtes #DNS, #DoH (DNS over #HTTPS). Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS. Le but ? Il s’agit essentiellement de contourner la #censure, en fournissant un canal sécurisé avec un serveur supposé digne de confiance. Et le chiffrement sert également à préserver la vie privée du client. Toutes ces fonctions pourraient être assurées en mettant le DNS sur #TLS (RFC 7858) mais DoH augmente les chances de succès puisque le trafic HTTPS est rarement bloqué par les pare-feux, alors que le port 853 utilisé par DNS-sur-TLS peut être inaccessible, vu le nombre de violations de la neutralité du réseau. DoH marque donc une nouvelle étape dans la transition vers un Internet « port 443 seulement ».

#RFC

RFC 8446 : The Transport Layer Security (TLS) Protocol Version 1.3

Après un très long processus, et d’innombrables polémiques, la nouvelle version du protocole de #cryptographie #TLS, la 1.3, est enfin publiée. Les changements sont nombreux et, à bien des égards, il s’agit d’un nouveau protocole (l’ancien était décrit dans le RFC 5246, que notre nouveau #RFC remplace).

▻http://www.bortzmeyer.org/8446.html

#HTTPS

Monitor your #https certificate expiry with this script
▻https://hackernoon.com/monitor-your-https-certificate-expiry-with-this-script-1338bf5acfe9?sour

https://cdn-images-1.medium.com/max/732/1*tbkfupwjSb5TiiI8iMadNQ.png

Last year’s new years eve, I got a call from my client. They said their website was infected by a virus and no one can access it.Now, my client runs a juice shop, and had no idea about how the web technically works, so I discarded the “virus” issue but he said site can’t be accessed so I fired up Firefox in my phone and I saw the Your connection is not secure page.Ever since Let’s Encrypt came out of beta, I’ve used it to convert all my and my clients’ sites to secure connections via HTTPS. I had set up a cron as instructed by certbot to renew the certificates regularly, but it used to fail every once in a while because I didn’t update the python packages, or something like that. Let’s Encrypt is kind enough to send a mail before expiring, but initial installations were done by an employee.Since (...)

#lets-encrypt #https-certificate-expiry #ssl-certificate #https-certificate-script

Anomalie #4097 : bug HTTPS dans la fonction url_de_base() sur certains serveurs mal configurés - SPIP - SPIP Core (Forge de développement)
▻https://core.spip.net/issues/4097

le contournement nécessaire dans mes_options.php pour les serveurs mal configurés ($_SERVER[’HTTPS’] et $_SERVER["SCRIPT_URI"] absents ou faux)

#SPIP #https #mes_options.php

HTTP Status Codes you probably haven’t heard of
▻https://hackernoon.com/http-status-codes-you-probably-havent-heard-of-edf780a9f391?source=rss--

https://cdn-images-1.medium.com/max/1024/1*Ehz2uGXNdRTqbTrkHb7sNQ.jpeg

And might not often see in the wild.A colleague of mine stumbled upon a HTTP status code that the team wasn’t sure of: 207. When I took a look I stumbled across a few others I hadn’t really been made aware of throughout my 4 year developer career.Lets go through some interesting codes…207: Multi-StatusA status code sent to represent information about multiple resources where appropriate.Imagine you have an aggregation layer that might make calls against multiple APIs to collate & process the data and return a JSON payload. If one of the calls succeeds and several others fail what’s the #api to do?It’s not a 4xx, the resource was found; it’s not a 300, there’s no redirect; it’s not a 5xx, the aggregation server didn’t fail to handle something and explode so it’s technically a 200 in the eyes (...)

#programming #https #web-development #http-status-code

Divide and Govern : How We Implemented Session Separation at Mail.Ru portal
▻https://hackernoon.com/divide-and-govern-how-we-implemented-session-separation-at-mail-ru-porta

https://cdn-images-1.medium.com/max/640/1*ziPc6KPOeZxSKR8_xcziKg.png

In the beginning…Mail.Ru is a gigantic portal created more than 15 years ago. Since then we have evolved from a minor web project to the most visited Runet site online. The portal comprises an enormous number of services, each with its own story and separate team of developers, who had to do their utmost to make sure all projects (new, old and those joining the portal as it evolved) shared a single user #authentication system. Then after many years we were eventually faced with a task that was almost the opposite: separate user sessions. Why this was necessary, what obstacles tripped us up and how we got around them will be covered in this post. If we take a trip back in time when all our services were part of a single second-level domain and separated into third-level domains, (...)

#https #security #web-security #cookies

Türkischer Provider jubelte Kunden Überwachungs-Software unter (h...
▻https://diasp.eu/p/6855609

Türkischer Provider jubelte Kunden Überwachungs-Software unter

#berwachungs #citizenlab #deeppacketinspection #dpi #https #internetzensur #jubelte #kunden #provider #rkischer #software #turkei #uberwachung #unter posted by pod_feeder

RFC 6844 : DNS Certification Authority Authorization (CAA) Resource Record

Ce #RFC a quelques années mais n’avait connu que peu de déploiement effectif. Cela va peut-être changer à partir du 8 septembre 2017, où les AC ont promis de commencer à vérifier les enregistrements #CAA (Certification Authority Authorization) publiés dans le #DNS. Ça sert à quoi ? En gros, un enregistrement CAA publié indique quelles AC sont autorisées à émettre des certificats pour ce domaine. Le but est de corriger très partiellement une des plus grosses faiblesses de #X.509, le fait que n’importe quelle AC peut émettre des certificats pour n’importe quel domaine, même si ce n’est pas un de ses clients.

▻http://www.bortzmeyer.org/6844.html

#certificat_électronique #HTTPS #TLS

Note : seenthis.net n’a pas d’enregistrement CAA.

Does my site need HTTPS?
▻https://doesmysiteneedhttps.com
#HTTPS_security_Web_SEO_webperf_clevermarks

Le passage de #Wikipédia au #HTTPS a été très efficace contre la censure

▻Https://motherboard.vice.com/fr/article/le-passage-de-wikipedia-au-https-a-ete-tres-efficace-contre-la-cen

Internet : Le chiffrement a contribué à faire baisser la censure de #Wikipédia dans le monde.
▻http://www.lemonde.fr/pixels/article/2017/05/30/le-chiffrement-a-contribue-a-faire-baisser-la-censure-de-wikipedia-dans-le-m
J’ai une pensée pour #Kweeper et pour #Scoopit qui devrait s’en inspirer et passer au #https...

Why HTTPS for Everything?
▻https://https.cio.gov/everything

“Every unencrypted HTTP request reveals information about a user’s behavior, and the interception and tracking of unencrypted browsing has become commonplace. Today, there is no such thing as non-sensitive web traffic, and public services should not depend on the benevolence of network operators.”

#HTTPS_clevermarks_beclever

The protocol-relative URL - Paul Irish
►https://www.paulirish.com/2010/the-protocol-relative-url

L’astuce pour requeter des ressources hors domaine depuis un site en httpS
<img src=’//domain.com/img/logo.png’>
et
.omgomg { background : url(//domain.net/image.gif) ;}

#https #astuce #ressource_externe

#bogue_seenthis : mettre le code src=//domain.com/img/logo.png avec l’URL entre guillemets doubles provoque son remplacement en https: //seenthis.net///domain.com/img/logo.png

Everything you need to know about HTTP security headers

Récap à propos des entête X-XSS-Protection, Content Security Policy, HTTP Strict Transport Security (HSTS), HTTP Public Key Pinning (HPKP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy & Cookie Options.

▻http://blog.appcanary.com/2017/http-security-headers.html

#https #apache & autres

#content_security_policy | Openweb.eu.org
▻http://openweb.eu.org/articles/content-security-policy

De nombreuses initiatives tendent à amener plus de sécurité sur les sites Internet. La généralisation de #https avec des initiatives comme Let’s Encrypt, la restriction de l’utilisation de certaines API avec HTTPS, de nombreux outils permettant de tester et d’améliorer la sécurité des sites, etc. Parmi ce vaste effort de sécurisation des sites, une technologie offre de nouvelles possibilités surprenantes sur le front-end. Son petit nom est « Content Security Policy ».

#web #sécurité #csp

https://www.afnic.fr/medias/images/actus/video-stephane-bortzmeyer.jpg

JCSA16 : Retour en images sur la Journée du Conseil scientifique de l’Afnic 2016 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/10075/show/jcsa16-retour-sur-la-journee-du-conseil-scientifique-de-l-afnic-2016.html

#JCSA16 #Afnic #Cryptography #tor #DNS #Internet #blockchain #securté #security #web #https #TLS #Certificate #ANSSI

Obtenir une bonne note sur Mozilla Observatory : HTTPS/CSP/SRI/CORS/HSTS/HPKP/etc.
▻https://www.nicolas-hoffmann.net/source/1697-Obtenir-une-bonne-note-sur-Mozilla-Observatory-HTTPS-CSP-SRI-

Un projet très intéressant est sorti il y a peu nommé Mozilla Observatory. Cet outil permet de tester divers points concernant la sécurité des sites Web.

En grand joueur, je me suis amusé à essayer d’obtenir la meilleure note possible, qui selon le barême est de 130/100. Je suis arrivé à 120/100 sur le site de Röcssti, ce qui n’est déjà pas si mal.

#http #https #sécurité #mozilla #test #bonnes_pratiques

https://www.afnic.fr/medias/images/actus/rapport-anssi.jpg

L’observatoire de la résilience de l’Internet français publie son rapport 2015 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9991/show/l-observatoire-de-la-resilience-de-l-internet-francais-publie-son-rapport-2015

#ANSSI #AFNIC #INTERNET #RESILIENCE #WEB #TLS #BGP #SMTP #DNSSEC #IPv6 #HTTPS #RPKI #DDoS

Ce soir, #seenthis doit changer d’hébergement. On va essayer de faire au mieux pour que ça se passe sans accroc, mais il est possible qu’il y ait quelques coupures du signal à certains moments.

https://media.giphy.com/media/JUZHZ9xkbiF8c/giphy.gif

Horaire prévu : entre 22h et minuit (heure française)

Certbot
▻https://certbot.eff.org

Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.

Un utilitaire en python pour l’installation et le renouvellement des certificats Let’s Encrypt.
Disponible sous forme du paquet debian : python-certbot-apache
#letsencrypt #python #serveur #certificat #automatisation #https

We’re Going HTTPS: Here’s How WIRED Is Tackling a Huge Security Upgrade
▻https://www.wired.com/2016/04/wired-launching-https-security-upgrade

“enabling HTTPS on a media site isn’t easy. Many have discussed the importance of HTTPS on news and media sites, and a few notable sites have already achieved it.”

#https_Wired_clevermarks

Moving the Washington Post to HTTPS
▻https://developer.washingtonpost.com/pb/blog/post/2015/12/10/moving-the-washington-post-to-https

“The challenges we faced in this migration weren’t strictly technical in nature. We knew exactly what we had to do at each step but we faced challenges in the following areas: infrastructure, advertising, and newsroom.”

#https_TheWashingtonPost_clevermarks