🚲 Tanguy Ortolo a écrit 12224 commentaires

Question : en IPv6 le problème du hairpinning disparaîtra?

Oui, puisqu'il n'y aura pas de NAT. Le nom de domaine de ton serveur résoudra sur son adresse IPv6, qui sera joignable depuis l'intérieur comme depuis l'extérieur.

Question annexe : quand on sera en IPv6, comment je fais pour trouver l'adresse IP d'un raspberry pi fraîchement installé? (actuellement j'utilise nmap 192.168.1.2-254 en IPv4 local mais si j'ai bien compris ça ne fonctionnera plus en ipv6)

C'est un peu hors sujet, parce que récupérer l'adresse d'un truc qu'on vient d'installer, c'est plutôt une question pour ceux qui ont fait la procédure d'installation. Tu peux toujours faire un nmap sur le sous-réseau IPv6, même si ça risque d'être un peu plus long. Il y a sans doute des outils plus appropriés ; personnellement, si un mDNS est installé sur cette nouvelle machine :

apt-get install libnss-mdns
getent ahostsv6 hostname.local

Dans ce cas, tunnel. Avec SixXS par exemple.

Depuis l'Intérieur (LAN)
- tu retentes comme en WAN avec https://www.monDomaine.be mais la le routeur de ton FAI a beaucoup de chance de ne pas être compatible hairpinning, si tu peux le changer par un autre (ce qui n'est pas mon cas!), t'as bien de la chance
-donc tu veux que sa fonctionne quand même

donc tu passe en IPv6.

À noter qu'avec Let's Encrypt, s'il est nécessaire de changer de certificat au moins tous les 90 jours, et qu'il est en pratique recommandé de le faire tous les 2 mois, il n'est nullement nécessaire de changer aussi souvent de clef. Le client officiel, Certbot, génère effectivement une nouvelle clef à chaque fois, mais ce n'est pas obligatoire, et d'autres implémentations permettent de renouveler les certificats existants à la place.

Compte tenu de ceci, si veut limiter la fréquence des changements, il est pertinent de procéder à des renouvellements sans changer de clef. Si on veut également mettre en place HPKP et DANE, on peut alors épingler non pas le certificat, qui changera tous les deux ou trois mois, mais la clef publique, qui demeurera tant qu'on ne l'aura pas manuellement changée.

Ainsi, si la récupération des certificats a lieu sur une machine donnée, celle-ci n'a plus besoin de pouvoir mettre à jour des enregistrements DNS, seulement de fournir les certificats renouvelés aux serveurs qui les utiliseront.

En suivant la recommandation de renouvellement tous le deux mois, cela laisse une marge d'un mois pour que les serveurs les récupèrent, ce qui peut très bien se faire de façon tirée, sans aucune synchronisation. Personnellement, je recommanderais d'aller chercher les éventuelles mises à jour toutes les semaines.

Maintenant, on peut avoir des raisons personnelles pour ne pas vouloir telle ou telle étape de ce système, par exemple parce qu'on n'aime pas PKIX-EE ou DANE-EE avec SPKI (cf. http://www.bortzmeyer.org/7218.html), mais ce sont là des contraintes qu'on s'impose, et en aucun cas des raisons de blâmer Let's Encrypt.

En clair, si tu veux changer de clef à chaque fois, et utiliser HPKP et DANE, oui, il va falloir mettre à jour des trucs qui, sans cela, auraient pu être laissés, mais c'est ton choix, donc ton problème. Et si tu veux épingler, non pas la clef, mais le certificat ou l'AC, il va aussi falloir mettre à jour des trucs, mais encore une fois, c'est ton choix, donc ton problème, pas celui de Let's Encrypt.

Pas de chance son mécanisme est trop compliqué pour l'utilisateur lambda qui veut se faire auto héberger son blog ou un owncloud.

Mais non. C'est trop compliqué pour l'utilisateur qui veut héberger son blog sur un système distribué et redondant pour avoir une haute disponibilité. Or ça, excuse-moi mais c'est tout sauf un utilisateur lambda. Et accessoirement, ce n'est pas de l'auto-hébergement, à moins d'avoir plusieurs maisons.

Pire il est tout simplement incompatible avec l'auto hébergement

Je ne devais pas être au courant de ce détail, c'est pour ça que j'ai pu réussir à l'utiliser. Et sans problème, je dois dire.

On ne peut donc pas critiquer quelque chose de gratuit, surtout si ce quelque chose ne possède pas d’alternative

S'il ne possède pas d'alternative, ce n'est pas leur faute, c'est seulement que personne n'en a proposé. Au boulot, donc.

(et qu'il est imposé)?

Décidément, c'est une manie…

Un des buts de Let's Encrypt étant de favoriser l'automatisation, ça n'arrivera pas.

Vu tes idées et ton goût pour la maintenance manuelle, je suggérerais plutôt de monter une alternative à Let's Encrypt, proposant le même service mais sans le but d'automatisation.

Par exemple les empreintes HPKP ou TLSA doivent être mise-à-jour en même temps que les certificats sur les HTTPd frontaux ou sur le postfix.

Je ne connais pas les détails d'HPKP, ne m'y étant pas intéressé parce que cette idée me semble foireuse, mais concernant TLSA, il me semble qu'on peut avoir plusieurs enregistrements à la fois, ce qui résoudrait le problème ici : au renouvellement du certificat, ta machine de la mort ajoute un TLSA, et ensuite les serveurs ont un mois pour tirer le nouveau certificat avant que le précédent expire. Lorsqu'il expire, la machine de la mort retire l'ancien TLSA.

Pour sécuriser encore plus cela, et éviter que ta machine de la mort ait la main sur tout le DNS, tu peux au choix :

• mettre en place un système de mise à jour dynamique du DNS, avec une clef pour cette machine de la morte, qui n'autorise qu'à mettre jour les enregistrements TLSA ;
• mettre en place un système tiré également, ou une autre machine dédiée au DNS irait récupérer le nouveau certificat puis l'utiliser pour construire un nouveau TLSA et l'ajouter.

Oui, c’est un problème. Actuellement, pour pouvoir pousser sur mon infra, je me retrouve avec une machine en DMZ avec un HTTPd dessus (pour le challenge ACME), contenant l’ensemble de mes clefs privées, CSR et certificats, avec une clef SSH root sans mot de passe permettant l’accès à la totalité de mon parc (HTTPd content + reverse, HA proxy, postfix/dovecot, jabber… nécessaire pour scp les clefs/certificats + restart des services associés), devant rester allumée la majorité du temps (quand tu gères une 100aine de certificats avec 90j de renew, tu en as au moins 1 par jour à être renouvelé), y compris au shadow master DNSSec (pour pouvoir changer les TLSA et resigner la zone) et à mes config HTTPd (pour les empreintes HPKP).

Eh bien, ça confirme que cette difficulté d'automatisation tient à ton infrastructure particulière, pas aux caractéristiques du service de Let's Encrypt.

Personnellement, à ta place je mettrais en place un système tiré. Tous les deux mois, ta machine spéciale fait signer et récupère un nouveau certificat, et toutes les semaines par exemple, tes machines tirent le certificat et relancent ou rechargent d'elles-mêmes leurs services. Si tu veux faire plus fin, elles peuvent ne relancer ou recharger leurs services que si le certificat a changé et après vérification de sa validité. Ça n'a pas besoin d'être spécialement synchronisé. Avec ce système, ta machine de la mort n'a plus d'accès root pour faire n'importe quoi, seulement moyen de filer de la merde comme certificat, ce qui est infiniment plus facile à résoudre en cas de problème, et rien de plus.

Si tu préfères faire ça à la main une fois par an, tu n'es pas obligé de te fournir chez Let's Encrypt. Et ce n'est pas une raison pour leur reprocher… pour leur reprocher quoi, au juste ?

Non. Je me retrouve à 1- utiliser LE, à désactiver la moitié de ses features et paramètres par défaut, pinner sur la clef ou 2- utiliser LE, pinner sur le cert, avoir la fucking machine de l’horreur en prod et en DMZ ou 3- utiliser LE, pinner sur le cert, ne pas pouvoir automatiser complètement (TLSA non pris en charge de manière sécurisée).

Lapin compris.

Non. L’automatisation avec LE implique une BAISSE de la sécurité globale de ton système. Uniquement par le fait du renouvellement du certificat à 90j. Ils le mettraient à 1 an, je pourrais automatiser complètement de manière sécurisée (avec certes un lancement humain de la procédure chaque année).

Comme je l'indique plus haut, tu peux l'automatiser, seulement tu as choisi de bouder cette possibilité pour des raisons qui t'appartiennent. C'est ton choix, donc tu ne peux pas en blâmer Let's Encrypt.

Ça protège plus que juste sur la clef. Un pin sur le certificat empèchera par exemple une interception MitM via un faux certificat généré avec la même clef.

Donc dans le cas ou un pirate aurait volé la clef sur ton serveur, mais n'aurait pas été capable de récupérer le certificat lui-même, pourtant public puisque non seulement présent sur ton serveur avec des permissions d'accès au moins aussi larges, mais en plus fourni à chaque connexion TLS.

Si tout l'intérêt de l'épinglage par certificat, c'est de se prémunir contre ce cas inexistant, autant dire que ça ne sert à rien.

Ce n’était pas le cas de certbot (à l’époque en tout cas) : il ne renouvellait que le certificat, et demandait à l’utilisateur d’embarquer en dur la chaîne intermédiaire (générée au 1er appel de certbot).

Mauvais client ACME, changer client ACME.

Et même pour ceux qui avait automatisé à mort, ils se sont retrouver avec 2 chaînes différentes (les certificats pas encore renouvelés et ceux fraîchement renouvelés), mais un seul chain.pem utilisé pour tous les vhosts via SSLCertificateChainFile (ça a donné pas mal de soucis en pratique en tout cas.)

Pareil, mauvais client ACME, changer client ACME. Sérieusement, récupérer le certificat intermédiaire automatiquement, mais le mettre au même endroit pour tous les certificats, c'est une grossière erreur de conception, à corriger ou à faire corriger.

Tirer, ça pose les problèmes de synchronisation. Il faut tiré pile après avoir renouvelé, et depuis toutes les machines en même temps pour éviter les problèmes de certificats pas identiques entre les machines.

Eh bien pousse, dans ce cas. Ah oui, mettre à jour un fichier sur un serveur ça demande d'avoir un accès en écriture dessus ? Et c'est censé être un problème ‽ Mais c'est normal ça, tu voudrais quoi d'autre ? Franchement, je ne comprends pas l'argument, là.

Et mon archi n’est pas compliquée, c’est le b.a-ba d’une infra correcte aujourd’hui (virtualisation, dual stack ipv4 (reverse proxy)-ipv6 (direct access), HA proxy…)

Eh bien, si ce n'est pas compliqué, il n'y a pas de problème. Tu veux que ce soit géré de façon automatique, automatise-donc sa gestion, mais ne te plains pas que Let's Encrypt ne le fasse pas pour toi : ils permettent de récupérer le certificat automatiquement, ce que tu en fais, ça te regarde.

Si tu changes de pin, il faut mettre à jour les entrées TLSA. Ce qui est encore plus compliqué à mettre en place que de tirer les certificats…

Ça, c'est toi qui voies ce que tu veux épingler avec TLSA. Si tu épingles la clef, tu peux faires des renouvellements sans changement de clef, et ne rien changer dans le DNS. Si tu épingles le certificat, forcément, tu doit faire un changement dans le DNS, mais ce n'est pas la faute de Let's Encrypt, seulement une conséquence de tes choix d'administrateur. Et si c'est compliqué à automatiser dans ton cas, tout ce que ça indique, c'est que tu as une architecture qui n'est gérée que de façon partiellement automatisée.

Dans tous ces cas, les problèmes que tu soulèves ne viennent pas de Let's Encrypt, qui font simplement, à peu de chose près, ce qui peut se faire de mieux, à savoir automatiser l'émission et la récupération de certificats. Intégrer ça sur un serveur tout simple, c'est trivial, intégrer ça dans une architecture plus complexe, eh bien c'est plus complexe, mais toujours automatisable quand on s'en donne les moyens. Et dans tous les cas, c'est toujours mieux que le processus manuel avec les autres autorités de certification.

• Passage de l’intermédiaire X1 à X3, ce qui a cassé toutes les chaînes de certificats (si vous aviez HSTS actif, ça a signifié l’impossibilité totale pour vos visiteurs de se connecter à votre site, il n’y a plus de bouton « Continuer quand même » sur l’alerte de sécurité dans ce cas).

Pourquoi veux-tu que ça casse quoi que ce soit ? Le protocole ACME, et son implémentation par Let's Encrypt, fournit l'URL certificat intermédiaire lors de l'émission du certificat. Un client ACME bien fichu doit pouvoir l'utiliser, et n'a aucune raison de dépendre d'un certificat intermédiaire donné : s'il change, il récupère le nouveau et tout marche comme sur des roulettes.

• Gestion du multi-frontal, par exemple un HA proxy ou de la virtualisation (comment je pousse le même certificat et clef sur tout le parc sans avoir un god-master root en DMZ sur tout mon parc ie le 7ème cercle de l’enfer)

Eh bien tu ne le pousse pas, tu le tires. Sérieusement, c'est un problème qui n'est pas du tout lié à Let's Encrypt : tu as une architecture compliquée, eh bien c'est compliqué à maintenir à la main, et compliqué à automatiser, c'est dur, mais c'est la vie.

• Gestion impossible ou extrêmement complexe de HPKP et pire de DANE/TLSA

Pour HPKP, c'est peut-être parce que l'idée même d'épingler un certificat est une belle connerie, qui est vouée à se retourner contre l'administrateur au moindre changement, et pour rappel, des changements, ça arrive de façon systématique et prévue, mais aussi de façon imprévue, hein.

Quant à DANE, je ne vois pas en quoi Let's Encrypt empêche ou complique excessivement quoi que ce soit.

• Pas de support de IPv6 jusqu’à très récemment

Génial l'argument : Let's Encrypt c'est nul parce qu'avant ça ne faisait pas telle chose. (Bon, maintenant ça le fait, mais avant ça ne le faisait pas, donc c'est trop nul quand même.)

• Impossibilité de récupérer le certificat racine automatiquement

Ça n'a pas été prévu en effet. Mais ça n'est pas pire que la concurrence, qui ne permet même pas de récupérer l'intermédiaire automatiquement.

Et accessoirement, en fait tu peux tout à fait récupérer le certificat racine automatiquement : le certificat intermédiaire est fourni, et une fois que tu l'as, tu peux chercher l'URL de CA Issuers, qui permet de télécharger le certificat racine.

Ce n'était pas une guerre de robots, mais j'eus un jour une expérience amusante avec un bot sur Wikipédia. Je cherchais alors les paroles de la chanson Cadet Rousselle, et de fil en aiguille, je m'égarai fort naturellement sur la page consacrée à sa parodie Bali Balo. Y ayant constaté des erreurs, je les corrigeai derechef. Cinq minutes plus tard, je recevais un message privé, expliquant que ma modification avait été annulée par je ne sais quel bot, qui l'avait identifiée comme du vandalisme, au motif qu'elle… était pleine de grossièretés.

Et il émule la mémoire sur la Flash SD ?

Argh.

Non, ce n'est pas totalement inexploitable. Si tu notes les connexion, tu auras les adresses MAC dedans. Pour les besoins d'une enquête sur quelque chose de sérieux, la police notera sans doute les adresses MAC des équipements des suspects, et le log des connexions pourra alors leur être utile. Sauf usurpation, mais ça c'est vrai pour tout, même pour un registre d'hôtel en fait.

D'accord pour ce mode d'utilisation de PayPal, qui revient en somme à avoir un autre compte courant et un moyen de paiement dédié.

Mes critiques visent le mode d'utilisation de PayPal avec enregistrement des informations de carte bancaire.

Donc j'avais bien compris, tu crois que PayPal et Amazon n'ont pas la possibilité de débiter ton compte sans action de ta part.

Eh bien, désolé si cela casse ton idée sur ces systèmes de paiement, mais c'est pourtant bien le cas. La preuve, c'est que, quand on règles un achat par PayPal ou sur Amazon, avec une carte déjà enregistrée — au passage, ce simple terme laisse assez peu de doute sur la façon dont ça fonctionne — la seule action de la part du client est un acquiescement — cliquer sur « valider l'achat », ou quelque chose d'approchant. Comme la validation de l'achat ne demande pas d'information particulière, telle que le code de la carte bancaire, on peut en déduire qu'il leur serait possible d'initier un débit sans demander de validation au client, ce qui constitue de fait une possibilité de débit discrétionnaire.

Maintenant, je me trompe peut-être, donc s'il y a quelque chose de faux dans ce que je viens d'énoncer, n'hésite pas à le préciser.

Non, pas mieux. Tu indiques que ce que je raconte n'existe pas, or ce que je racontais juste avant, c'est que PayPal et Amazon enregistraient assez d'informations sur nos cartes bancaires pour pouvoir débiter quand ils veulent : dois-je comprendre que tu crois que ce n'est pas le cas ?

Ça me rappelle encore une fois un reproche que je fais à tous les modèles courants de micro-ordinateurs sur carte comme le Raspberry Pi : sans porte SATA, ils ne sont à l'évidence pas conçus pour servir de serveur. Ou alors, seulement de serveur qui n'a rien à stocker. Ou alors, de serveur auquel il faut coller un disque dur externe, ce qui transforme une merveille de compacité en affreux machin en deux parties, ce qui n'est pas censé être le but de ces appareils.

Je ne comprends pas, es-tu en train de dire que PayPal et Amazon ne conserve pas l'ensemble données qui leur permettrait de débiter ton compte ? Il me semblait justement que c'était là la caractéristique de leurs systèmes de paiement, de permettre de payer sans avoir à saisir à nouveau son numéro, date ou cryptogramme de carte bancaire…

Et donc, je devrais laisser trainer mon N° de CB dans plein de systèmes différents parce que…

Au contraire, donc tu ne devrais jamais laisser ton numéro de carte bancaire dans aucun système qui l'enregistre et permet ensuite de payer en se servant sur ton compte sans avoir à fournir d'information, ce qui inclut notamment PayPal et Amazon. Les systèmes qui n'enregistrent pas les informations nécessaires à se servir sur ton compte ne souffrent pas de ces risques.

Et pourquoi tu ne dis pas la même chose pour ma banque ?

Parce que ça, c'est une évidence, et que, surtout, c'est inévitable : ta banque à accès à tes comptes, c'est comme ça et on ne peut pas faire autrement.

C'est comme Stallman qui ne demande des billets anonymes payés en liquide pour prendre le train, mais qui utilise sans problème des billets nominatifs payés par carte pour l'avion, parce que, pour ce dernier moyen de transport, les billets sont toujours nominatifs, par conséquent on laisse déjà une trace, et payer par carte ne fait pas empirer la situation.

S'ils le font régulièrement, pourquoi ils existent toujours et que tout le mode utilise PayPal ? Par bonheur de se faire voler leur argent ?

Non, parce que c'est pratique, mais PayPal a une possibilité dangereuse, et le fait qu'ils n'y ait pas eu de problème pour le moment ne signifie pas qu'il n'y en aura jamais. Comme je l'ai mentionné, cela peut arriver pour pleins de raisons, certaines indépendantes de leur volonté. Ne pas utiliser PayPal permet de ne pas être sujet à ce risque.

On pourrait en dire autant des DRM sur les bouquins, par exemple : cela permet à Amazon de supprimer à distance l'accès aux livres numériques achetés par un client. Mais c'était débile, c'est de la paranoïa, jamais ils n'auraient fait une chose pareille, et les gens n'utilisaient pas Amazon pour le plaisir de se faire déposséder de leurs bouquins. Sauf qu'un jour, ils l'ont fait. Eh bien, personnellement, cela faisait des années que j'expliquais le problème : tout le monde s'en fout peut-être, jusqu'au jour où cela arrive ; personnellement ces problèmes ne me concernent pas parce que je fais en sorte de ne pas y être sujet.

Accessoirement, je critique tout autant les dons réguliers aux associations par prélèvement : cela donne un accès discrétionnaire au compte du donateur, ce que je me refuse personnellement à faire. Le jour où une association acceptera les dons par virement, je pourrai la soutenir ainsi, pour le moment, c'est donc ponctuel par chèque ou rien.

• ça ne marche pas quand il faut présenter la carte pour retirer les billets SNCF;

Il faut toujours prendre des billets à retirer par numéro de dossier. Je sais que Voyages-sncf.com ne le proposent pas toujours, mais c'est bien pour pallier ce genre de truc débile que des agences comme Trainline (anciennement Captain Train) existent.

• ça ne permet pas de se faire rembourser par amazon (vu que le numéro marche qu'une fois)

Ça, peu importe, si tu dois te faire rembourser ils feront autrement, puisqu'ils en ont l'obligation. Autre carte bancaire, virement, chèque, à eux de se débrouiller.

Moins je laisse traîner mon n° de CB (y'a déjà Amazon qui l'enregistre automatiquement sans en avoir le droit <_< )

Tandis que PayPal, ils ne l'enregistrent pas, peut-être ?

Je ne préfère par laisser non N° de CB partout et ne le laisser presque que chez PayPal c'est pour moi un signe de sécurité.

Voyons, tu le laisses tout de même à PayPal, qui, contrairement à pas mal de services de paiement sur Internet, l'enregistre et a donc, pour toute la durée de validité de ta carte, un accès discrétionnaire à ton compte. Il n'ont certes pas le droit de se servir comme ils le veulent, mais ils en ont la possibilité. Et inutile d'invoquer le fait que tu as confiance en PayPal pour ne pas s'amuser à voler ses utilisateurs, parce qu'outre ce cas de malveillance de PayPal eux-mêmes, cela peut également arriver dans d'autres cas, notamment : erreur de la part de PayPal, malveillance d'un employé, erreur de la part d'un employé, ou encore piratage informatique.

Par ailleurs, ça ne fait en fait que déplacer le problème, parce que, si les informations de ta carte bancaire permettent de se servir à volonté sur ton compte, en utilisant PayPal, les informations de ton compte PayPal prennent exactement ce rôle et permettent de se servir à volonté sur ton compte PayPal, qui se sert sur ton compte en banque.

Pour prendre une analogie débile, plutôt que de donner le code d'entrée de ta porte à tous les livreurs de pizza, tu as choisi de sécuriser tout ça en confiant le code à une robot automatique, que les livreurs peuvent activer en saisissant un autre code. Eh bien, ça ne sécurise rien du tout, en fait ça ajoute un niveau de risque, puisque tu as maintenant deux points qui peuvent être attaqués.

Autant je trouve horrible de mettre une grammaire au pif et dire "c'est de l'inclusif" (alors que ça exclu, cf les discussions sur le sujet ici même), autant je trouve ridicule de sexualiser (dans le sens "mettre un sexe à une personne") ce qui n'a pas besoin de l'être.

Donner un sexe aux personnages qu'on mentionne dans ses exemples, c'est mal ? Faire des exemples sous forme de dessin, ça doit être très mal, alors, parce que ça rend apparent le sexe qu'on leur a arbitrairement attribué. Leur donner un prénom, c'est mal aussi, ou est-ce que ça, on a le droit ?