Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

To: debian-user-french@lists.debian.org
Subject: Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
From: Jean Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr>
Date: Fri, 16 May 2008 19:02:26 +0200
Message-id: <[🔎] 482DBE22.6010506@wanadoo.fr>
Reply-to: jean-baptiste.favre@wanadoo.fr
In-reply-to: <[🔎] 20080516123538.6d1c2e12@ithil.lan>
References: <[🔎] 935eeb180805151314s5eff88d5m3a700dde9585278a@mail.gmail.com> <[🔎] 1ecb24a50805151435g1768e9efv83e1fa996e309a91@mail.gmail.com> <[🔎] 482CB19C.6010704@wanadoo.fr> <[🔎] 20080516123538.6d1c2e12@ithil.lan>

Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes
excuses.

Re,

Sylvain Sauvage a écrit :
> > Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> >> Bonsoir,
> >
> > ’jour,
> >
>> >> Pour être vraiment complet (!), HTTPS n'est pas le seul
>> >> protocole concerné. Dès que vous utilisez TLS ou SSL, vous
>> >> êtes concernés (FTPS, SMTPS, ...)
> >
> >   Rappelons que, pour ces protocoles, le problème ne se pose que
> > pour les _serveurs_ (se sont eux qui génèrent le certificat).
> >   Donc si vous avez un .pem pour un de ses services : regénérer
> > (cf. tous les liens déjà donnés : des instructions sont données
> > pour chaque programme).
> >
Pas d'accord: les certificats clients sont également impactés à partir
du moment où ils ont été générés sur un serveur avec une mauvaise
version d'OpenSSL (cf. les impôts ci-dessous).

En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez
toutes vos clefs et certificats et vous dormirez tranquilles  :-)
Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à
gérer et 5 certificats. J'imagine que des structures plus importantes
vont peut-être chercher à optimiser la chose, mais pour information: les
tentatives de connexions sur le port 22 de mon serveur ont explosée
depuis 2 jours. Je reste serein puisqu'il est protégé par du
port-knocking mais tout le monde n'est pas dans mon cas  ;-)

>> >> En ce qui conerne les impôts, le mieux est de leur poser la
>> >> question. Je ne sais pas personnellement ce qu'ils utilisent
>> >> pour générer leurs certificats (mais je pencherais pour un
>> >> dispositif matériel vu la quantité de certificats gérés)
> >
> >   Autrement dit : le certificat est généré par les Impôts, donc
> > le fait que vous ayez utilisé ce certificat sur une Debian ne
> > devrait poser aucun problème. (Il ne pourrait y avoir de
> > problème que si les Impôts ont utilisé une Debian touchée pour
> > ce faire, ce qui est fort peu probable.)
> >
Plus généralement, si votre certificat est signé par une CA "officielle"
(Verisign and co), le mieux est de prendre contact avec eux.
Si vous avez généré votre certificate request sous Debian ou si leur CA
l'a été, vous avez gagné !

Bon week-end,
JB

Reply to:

Follow-Ups:
- Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
  - From: Stephane Bortzmeyer <stephane@sources.org>

References:
- HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
  - From: "Mathieu Chappuis" <mathieu.chappuis.lists@gmail.com>
- Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
  - From: "antoine de hillerin" <ahillerin@gmail.com>
- Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
  - From: Jean Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr>
- Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
  - From: Sylvain Sauvage <Sylvain.Sauvage@metanoesis.net>

Prev by Date: [RESOLU]Mais où est passée ma RAM ? Conclusion (Friday's Tale)
Next by Date: Re: OupSSH [Resolu]
Previous by thread: Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
Next by thread: Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
Index(es):
- Date
- Thread