Sondage Comme autorité de certification pour linuxfr.org je préfèrerais...

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
22
5
nov.
2014

Après la grande discussion sur le certificat CACert de LinuxFR ayant eu lieu dans la dépêche Firefox 32, après l'entrée de suivi à ce sujet, pourquoi ne pas faire un sondage auprès des utilisateurs du site ?

  • Rester avec CACert en dépit des critiques :
    277
    (12.6 %)
  • Opter pour Gandi (donc Comodo) comme l'April et l'AFUL :
    488
    (22.2 %)
  • Un certificat auto-signé car je vous fais confiance :
    277
    (12.6 %)
  • Un certificat GlobalSign gratuit (ceux réservés aux projets libres) :
    257
    (11.7 %)
  • Un certificat Verisign car avec eux c'est du sérieux, ils ont des cravates ! :
    61
    (2.8 %)
  • Yaka supprimer le HTTPS ! :
    151
    (6.9 %)
  • De toute façon c'est foutu, la NSA a des ordinateurs quantiques. :
    689
    (31.3 %)

Total : 2200 votes

Forum Astuces.divers Scripter la génération de certificat

Posté par  . Licence CC By‑SA.
Étiquettes :
9
7
oct.
2014

Cher journal,

Internet ne m'a pas beaucoup aidé à trouver une réponse simple et complète à cette question, alors permets moi de te détailler la solution.

La mise en place d'une AC auto-signée est relativement aisée. Il existe plein de tutoriaux sur internet, celui-ci étant par exemple très clair et didactique.

En lisant le man, tu noteras qu'il faut mettre l'AC dans /usr/local/share/ca-certificates et non dans /usr/share/ca-certificates sur les systèmes à base Debian afin qu'elle soit ajouté automatiquement via le (…)

Forum Linux.général LDAP over TLS - unsupported extended operation

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
10
sept.
2014

Bonjour,

J'ai suivi la création du certificat depuis la page d'openldap (ici: http://www.openldap.org/faq/data/cache/185.html )
J'ai aussi générer un certificat cacert et j'obtient le même résultat.

Lorsque je fais un 

root@DB:/etc/ldap# ldapsearch -ZZ
    ldap_start_tls: Protocol error (2)
            additional info: unsupported extended operation

alors qu'un :

root@DB:~# ldapsearch
    SASL/EXTERNAL authentication started
    SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
    SASL SSF: 0
    # extended LDIF
    #
    # LDAPv3
    # base <> (default) with scope subtree
(…)

Forum Linux.debian/ubuntu rsync ssh authentification par certificat

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
11
fév.
2014

Bonjour,

Je cherche à mettre en place une authentification par certificat pour des sauvegarde avec rsync. Donc cela fonctionne très bien avec la commande ssh

ssh myuser@remote

J'ai utilisé le fichier ~/.ssh/config :

Host remote
Port 22
User myuser
IdentityFile /home/myuser/.ssh/id_rsa
Hostname remote.domain.fr

Mais si j'utilise avec rsync, j'ai une demande de mot de passe

/usr/bin/rsync -e 'ssh -i /home/myuser/.ssh/id_rsa' -azv /local/backup/ myuser@remote:/mnt/backup/
myuser@remote.domain.fr's password:

Sur le serveur distant j'ai cela dans /var/log/auth.log

Feb 11 15:55:42 remote sshd[12453]: Invalid (…)

Journal Scandale de la NSA et cryptographie, le vrai du faux

Posté par  . Licence CC By‑SA.
Étiquettes :
39
11
oct.
2013

Bonjour à tous,

Depuis le scandale de la National Security Agency en juin 2013 et les révélations sur le programme PRISM, la cryptographie a connu une explosion d'intérêt dans le monde entier. Les médias de masse s'en sont emparés, tout le monde s'est mis à en parler, et comme à chaque fois que l'on donne un sujet technique à Mme. Michu, d'énormes absurdités en sont ressorties, et on a enregistré un pic de popularité du mot "cryptocalypse".

J’espère ici (…)

Forum Linux.général CACert.org et certificat pour plusieurs sous-domaines (futurs)

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
10
août
2013

Bonjour à tous,

Je souhaiterais générer un certificat ssl pour l'ensemble de mes sous-domaines, actuel et surtout futur.

J'ai lu qu'il était déconseillé de générer un certificat (cacert.org) pour le CN *.domain.tld

Ma question est donc, comment dois-je m'y prendre pour permettre de certifier tous mes (prochains) sous-domaine ?

Réunion informelle CAcert.org aux First Jeudi à Paris

Posté par  . Édité par Nÿco, baud123 et Benoît Sibaud. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
11
5
déc.
2012
Communauté

Les First Jeudi sont une réunion bi-mensuelle, organisée par l'association Parinux dans le cadre convivial d'un restaurant ou d'un bar, pour discuter des problématiques du libre et passer un bon moment ensemble. La prochaine réunion se tiendra le Jeudi 6 Décembre 2012 de 19h30 à 23h00 au Père Tranquille.

À cette occasion, des accréditeurs CAcert.org seront présents pour échanger et vous offrir une certification croisée. CAcert diffuse des certificats X.509 gratuits et organise un cercle de confiance entre utilisateurs (WoT Web Of Trust). Les certificats X.509 permettent de signer des emails, de se connecter à des VPN et de mettre en place des sites Web sécurisés par HTTPS. Environ 253.000 utilisateurs ont rejoint CAcert.org.

Si vous souhaitez vous faire certifier à l'occasion des First Jeudi :

  • Créez un compte sur CAcert.org
  • Lors de votre inscription, utilisez un email valide et stable (pas d'email jetable).
  • Munissez-vous de 2 pièces d'identité, de préférence une carte nationale d'identité et un passeport.

L'adresse du Bon père tranquille:

Père Tranquille
16 rue Pierre Lescot
Paris 75001
France
48° 51' 43.4736" N, 2° 20' 53.9196" E

Suivi — Aide et documentation Proposer une page d'aide à la configuration HTTPS

#966 Posté par  (site web personnel) . État de l’entrée : invalide. Assigné à Bruno Michel.
Étiquettes :
2
29
juil.
2012

Il faudrait créer une page d'aide pour la configuration HTTPS. Cette page comporterait des explications sur le certificat CAcert utilisé par LinuxFr.org ainsi qu'un mécanisme pour détecter si l'utilisateur peut accéder à linuxfr.org et au sous-domaine img.linuxfr.org.

Bien entendu, si quelqu'un a une idée sur comment améliorer la détection ou l'ajout du certificat, qu'il n'hésite pas à en faire dans les commentaires ;-)

Freelan : un nouveau venu dans le monde des VPN peer-to-peer

Posté par  (site web personnel) . Édité par Nÿco et Florent Zara. Modéré par Florent Zara. Licence CC By‑SA.
Étiquettes :
56
23
avr.
2012
Sécurité

Un nouveau venu fait son apparition dans le monde des VPN peer-to-peer sur Internet : Freelan. Ce logiciel libre licencié sous GPL permet d'établir un réseau VPN entre différents hôtes selon, au choix, un modèle peer-to-peer, client-serveur ou hybride. N'importe quelle topologie réseau est possible.

Plus de détails dans la suite de la dépêche

Suivi — Administration site Chaine de certificats manquante

#502 Posté par  (site web personnel) . État de l’entrée : corrigée. Assigné à Benoît Sibaud.
Étiquettes :
1
10
juin
2011

La version HTTPS du site n'envoie pas toute la chaine de certificats

openssl s_client -connect linuxfr.org:443 -CApath /etc/ssl/certs
---
Certificate chain
 0 s:/CN=linuxfr.org
   i:/O=CAcert Inc./OU=http://www.CAcert.org/CN=CAcert Class 3 Root
---

Journal SSL, et l'escroquerie continue

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
6
avr.
2011

J'ai déjà parlé de ce sujet ici, je vais donc faire très court.

Dans le journal précédent j'avais déjà parlé des certificats signé pour "localhost" ou autre nom non FQDN. Et bien voilà que le groupe de l'observatoire SSL de l'EFF arrive avec des nouvelles données intéressantes mais effrayantes.
Nos amis, les CA, ont tout simplement signé plus de 37'000 certificats SSL valides ayant des noms bidons. Par exemple, ils ont trouvé 806 certificats ayant comme (…)

Forum général.général Certificat certifié - https

Posté par  .
Étiquettes :
1
26
avr.
2010
Bonjour ! J'héberge un blog qui contient ma liste de mariage sur mon sheevaplug. Je fais cela parce que je me marie avec une québécoise, au québec, mais que je suis français: y'a des francais, des allemands, des québécois... bref c'est plus simple de centraliser comme cela.

Sauf que mon fournisseur d'accès filtre le port 80, mais pas le 443. J'héberge donc en https et roulaiz ! Bien sur mon certificat je l'ai signé moi-même, et donc il faut l'accepter (…)

Forum général.cherche-logiciel certificats SSL gratuits

Posté par  .
Étiquettes :
0
5
mai
2009
bonjour,

Par curiosité, je souhaite installer un certificat ssl sur quelques pages d'un site web perso hébergé par free.fr

linuxfr utilise cacert, par contre celui-ci n'est pas reconnu par mozilla (vu que c'est juste pour moi, c'est pas trop grave, je peux autoriser l'exception). Par contre, je constate qu'il existe d'autres solutions, comme startcom, qui sont également gratuites, sauf preuve du contraire :

http://www.veilleperso.com/startcom-certificats-ssl-gratuit-(...)
http://cert.startcom.org/?lang=fr

Startcom est présent dans les certificats de mozilla, alors, pourquoi ce n'est pas plus utilisé (…)