#https

Créer un #certificat #ssl / #tls sur #debian — Biapy Help Desk
▻https://howto.biapy.com/fr/debian-gnu-linux/serveurs/http/creer-un-certificat-ssl-sur-debian

Howt détaillé pour la mise en place d’un certificat ssl sur un #serveur debian

#sécurité #https #howto

▻http://blog.blockchain.com/2014/12/03/improved-security-for-tor-users

“We are happy to announce our new .onion address – blockchainbdgpzk.onion. This address is further secured by an SSL certificate. The certificate was issued by Utah-based Certificate Authority, DigiCert – the company also provided the SSL certification for Facebook’s recently launched .onion. We are grateful that Digicert decided to pioneer with both Blockchain and Facebook by issuing the first two SSL certifications in the world for .onion address.”

#X.509 #digital_certificate #onion #Tor #Bitcoin #network_security #HTTPS #TLS

Les détails techniques sur le système « Keyless SSL [sic] » de #Cloudflare :

▻http://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details

Bien sûr, c’est en bonne partie de la pub (leur système n’est pas « keyless » du tout) mais c’est rigolo. Le problème est spécifique aux hébergeurs comme CloudFlare (si on héberge son site Web soi-même, on n’a pas besoin de cette technique). Un site Web sérieux est accessible en #HTTPS pour des raisons de sécurité et de vie privée. Mais cela implique que l’hébergeur connnaisse la clé privée correspondant à la clé publique qui est dans le certificat du client de l’hébergeur. Pas glop.

La solution « Keyless SSL » consiste à séparer les opérations cryptographiques en deux. Une partie, celle qui nécessite la connaissance de la clé privée, reste sur un serveur géré par le client de Cloudflare. Une autre, la plus intense en calculs, est chez Cloudflare. Entre les deux, un protocole conçu par Cloudflare et pour lequel ils fournissent une mise en œuvre en logiciel libre.

#TLS #cryptographie

« Voilà, plus d’un an après les révélations de Snowden, ce blog est enfin sécurisé par #HTTPS. »

▻http://www.bortzmeyer.org/https-blog.html

Allez, SeenThis, courage, faut faire pareil :-)

#SeenThis_TODO

Voilà comment faire grimper SeenThis dans les résultats Google : mettre enfin une configuration #HTTPS correcte !

▻http://arstechnica.com/security/2014/08/in-major-shift-google-boosts-search-rankings-of-https-protected-sites

#TLS #SEO

Rappel de l’analyse de Firefox sur ►https://seenthis.net : « The certificate is not trusted because it is self-signed. The certificate is not valid for any server names. The certificate expired on 12/01/2012 16:37. The current time is 08/08/2014 08:45. »

Again, a false #X.509 certificate spotted by #Google

▻http://googleonlinesecurity.blogspot.no/2014/07/maintaining-digital-certificate-security.html

#TLS #HTTPS #security

La NSA a t-elle une webcam dans votre salle de bains ?

Hier, 13 mars 2014, à l’#ESGI à Paris, j’ai participé au « Security Day » avec un exposé de spéculation sur les capacités effectives de la #NSA. Peut-elle tout écouter et déchiffrer même ce qu’on a chiffré avec les meilleures clés #RSA ? #HTTPS nous protège t-il contre un tel ennemi ?

▻http://www.bortzmeyer.org/security-day-nsa.html

#espionnage #vie_privée

A proposal floating in the #IETF suggests to have “trusted proxies” for #HTTPS connections, able to decrypt the traffic. The proposal is in this Internet-Draft: ▻http://tools.ietf.org/html/draft-loreto-httpbis-trusted-proxy20

An alternative exploration of the use cases is at ▻https://github.com/http2/http2-spec/wiki/Proxy-User-Stories and a survey of possible solutions at ▻https://github.com/bizzbyster/TrustedProxy/wiki/Trusted-Proxy-Use-Case-Analysis-and-Alternatives

A very strong opposition to this proposal: ▻http://lauren.vortex.com/archive/001076.html

#MiTM #TLS

Créer sa propre (mini) PKI | Artisan Numérique
▻http://artisan.karma-lab.net/creer-sa-propre-mini-pki

Tuto que j’ai suivi pour faire mes #certificats #ssl. À garder sous le coude(Permalink)

#https #sécurité

Le 12 octobre, atelier-café sur la protection des communications pour les nOObs à Montreuil

▻http://simplonco.tumblr.com/post/61656772515/cafe-vie-privee-1-simplonco-surfez-chattez

#retape #vie_privée #chiffrement #SSL #https #pour_ma_mère

Where did all the HTTP referrers go? (Cyril Aknine)
▻http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.html

Source : Smerity.com

Use // instead of http:// or https:// : HTTP client will use whatever protocol the page was fetched with - ▻https://news.ycombinator.com/item?id=5514784 #SSL #HTTP #HTTPS

#seenthis_bug @seenthis, le client #oembed utilisé ne marche pas avec #HTTPS ?

Test :
►https://www.youtube.com/watch?v=_p-LNLv49Ug

RFC 6797 : HTTP Strict Transport Security (HSTS)

La technique #HSTS (HTTP Strict Transport Security), normalisée dans ce #RFC (mais déjà largement déployée) vise à résoudre une attaque contre #TLS. Si un site Web est accessible en #HTTPS, et qu’un méchant arrive à convaincre un utilisateur de se connecter en HTTP ordinaire à la place, le méchant peut alors monter une attaque de l’homme du milieu. Le fait que le site soit protégé par TLS n’aidera pas dans ce cas. Pour éviter cette attaque, HSTS permet à un site de déclarer qu’il n’est accessible qu’en HTTPS. Si l’utilisateur a visité le site ne serait-ce qu’une fois, son navigateur se souviendra de cette déclaration et ne fera plus ensuite de connexions non sécurisées.

►http://www.bortzmeyer.org/6797.html

Ça serait cool pour améliorer la sécurité de SeenThis mais, de toute façon, il faudrait d’abord résoudre <►http://seenthis.net/messages/98342>

Permettre un accès en #HTTPS à Seenthis, c’est très cool (pour les lecteurs situés dans des pays dictatoriaux, ou qui travaillent dans une entreprise qui flique ses salariés, c’est même recommandé par l’EFF). Mais il faudrait un certificat plus sérieux. Mon Firefox me dit :

« The certificate is not trusted because it is self-signed. »

Il faudrait utiliser une AC comme CAcert ou StartSSL ou autre.

« The certificate is not valid for any server names. »

Et, en effet, aucun nom de serveur n’est indiqué dans le certificat.

« The certificate expired on 01/12/12 16:37. The current time is 11/20/12 10:41. »

Il faudrait renouveler le certificat (truc : CAcert envoie un rappel automatiquement)

#SeenThis_bug #TLS #X.509

4 Simple Changes to Stop Online Tracking | Electronic Frontier Foundation
►https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online

#publicité #tracking #surveillance #adblock+ #cookies #referers_off #https_everywhere

RFC 6698 : The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol : TLSA

À chaque seconde, d’innombrables transactions sur l’Internet sont protégées contre l’écoute et la modification malveillante par le protocole #TLS. Ce dernier est capable de chiffrer la session (pour la protéger contre l’écoute par un tiers) et d’authentifier le pair avec qui on parle (pour s’assurer qu’on n’est pas en train de communiquer avec un usurpateur). Comment TLS authentifie t-il ? La méthode la plus courante aujourd’hui est de se servir de certificats #X.509 vérifiés (en théorie) par une Autorité de Certification. Ce mécanisme repose sur une confiance aveugle dans de très nombreuses organisations, et a de nombreuses faiblesses, comme on l’a vu en 2011 où le piratage de plusieurs AC a permis à des attaquants d’obtenir de « vrais-faux » certificats, y compris pour des organisations qui n’étaient pas clientes des AC piratées. La démonstration étant ainsi faite que X.509 n’était pas digne de la confiance que certains lui accordent, il restait à concevoir une meilleure solution. Rendue possible par le déploiement de #DNSSEC, voici #DANE (DNS-based Authentication of Named Entities) et ses enregistrements #DNS #TLSA. DANE permet à chacun de publier de manière sécurisés ses certificats, bouchant ainsi les vulnérabilités de X.509, ou permettant même de s’en passer complètement.

DANE permettrait par exemple, d’accéder à SeenThis sans se faire engueuler par son navigateur. Aujourd’hui, SeenThis est accessible en #HTTPS mais avec un certificat auto-signé, et pour un nom invalide ("SeenThis" et pas "seenthis.net"). Ajouter un enregistrement TLSA à _443._tcp.seenthis.net permettrait de ne plus avoir d’avertissement de sécurité (pour les futurs navigateurs Web avec gestion de DANE/TLSA).

►http://www.bortzmeyer.org/6698.html

#RFC

Tor and HTTPS
►https://www.eff.org/pages/tor-and-https

Une infographie de l’Electronic Frontier Foundation pour visualiser les informations qui peuvent être interceptées - et à quels moments - lorsque vous vous connectez à un site, selon que vous utilisez Tor ou le https, les deux, ou encore aucun.
Conclusion : pour garantir la confidentialité de sa navigation ou de ses communications numériques, il faut utiliser Tor ET le https ET avoir une pleine confiance dans l’administrateur système du site hébergé (notamment dans le choix des outils qu’il met en place). Note : dans le graphique, ISP signifie fournisseur d’accès.

Click the “Tor” button to see what data is visible to eavesdroppers when you’re using Tor. The button will turn green to indicate that Tor is on.
Click the “HTTPS” button to see what data is visible to eavesdroppers when you’re using HTTPS. The button will turn green to indicate that HTTPS is on.

https://www.eff.org/files/tor-https-0.png

Sovereign #Keys : A Proposal to Make #HTTPS and #Email More Secure | Electronic Frontier Foundation
►https://www.eff.org/deeplinks/2011/11/sovereign-keys-proposal-make-https-and-email-more-secure

In a previous post, we discussed some structural insecurities in HTTPS and TLS/SSL, and how those are beginning to pose serious problems for the security of the Web.

In this post I will introduce a new proposal called “Sovereign Keys”, which is intended to systematically fix these weaknesses in the way that encrypted Internet protocols perform authentication.

est-ce une réponse à ►http://seenthis.net/messages/37879

(#sécurité #internet #cryptographie, twitté par @natmaka)

ssl/ssh multiplexer
►http://www.rutschle.net/tech/sslh.shtml

#sslh accepts #HTTPS, #SSH and #OpenVPN connections on the same port. This makes it possible to connect to an SSH server or an OpenVPN on port 443 (e.g. from inside a corporate firewall, which almost never block port 443) while still serving HTTPS on that port.

#vpn

Accéder à Reflets.info en HTTPS | bluetouff
►http://reflets.info/acceder-a-reflets-info-en-https

Suite à une remarque il y a quelques minutes, non dénuée de sens, de @Dam_ned sur Twitter nous signifiant qu’il s’étonnait de ne pas voir Reflets.info accessible en https malgré un bon nombre d’article traitant de Deep Packet Inspection, nous avons à l’instant configuré un certificat tout neuf pour vous. Vous pouvez donc maintenant tous accéder à Reflets en https via ►https://reflets.info Comme nous ne faisons pas plus que ça confiance aux « tiers de confiance », nous avons nous même auto-signé notre certificat (./rebuild.sh étant la société qui édite le site Reflets.info), ne soyez donc pas étonnés si votre navigateur vous dit qu’il n’est pas fiable, pour nous il l’est plus qu’en passant par un tiers. Le voici :

Top 7 #Myths about #HTTPS – #HttpWatch Blog
►http://blog.httpwatch.com/2011/01/28/top-7-myths-about-https
#cache #cookie

L’EFF souhaite généraliser la connexion sécurisée HTTPS
►http://www.numerama.com/magazine/18617-l-eff-souhaite-generaliser-la-connexion-securisee-https.html

Un an après avoir dévoilé HTTPS Everywhere, un module complémentaire pour Firefox, l’Electronic Frontier Foundation lance une campagne en faveur des connexions sécurisées. L’ONG américaine a lancé un wiki dans lequel elle fait le point sur la sécurité mise en œuvre par les différents sites web pour protéger les internautes.

#confidentialités #données_personnelles #https #Firefox #EFF #Electronic_Frontier_Foundation

Foaf ssl - ESW Wiki
►http://esw.w3.org/Foaf%2Bssl

#FOAF #SSL #certificat #HTTPS #authentification

Perspectives : Firefox Extension
►http://www.cs.cmu.edu/%7Eperspectives/firefox.html

“an extension to the popular Firefox browser that contacts network notaries whenever your browser connects an HTTPS website”

#firefox #extension #https #certificat #contrôle #vérification #sécurité #clevermarks