[Linux-bruxelles] avertissement sur SSL

Etienne chokeboy at gmail.com
Sam 12 Mar 14:38:39 CET 2016 

fyi, voici un excellent outil pour qui veut vérifier la sécurité d'un
serveur web:
https://www.ssllabs.com/
il teste entre autres si le serveur est patché par rapport à DROWN
Si le serveur a testé n'est pas public, ça ne fonctionne pas, mais il est
possible de tester pas mal de choses avec openssl

bon weekend
Etienne

Le 3 mars 2016 à 14:18, Jean-Marie GODFRAIND <godfraind_jm at hotmail.com> a
écrit :

> Bien merci à Jean-Marc pour le commentaire précis.
>
> JM
>
>
> - - - End reply - - -
> - - - - - - - - - - - - - -
>
>
> Date: Thu, 3 Mar 2016 13:59:36 +0100
> From: jean-marc at 6jf.be
> To: linux-bruxelles at lists.bxlug.be
> Subject: Re: [Linux-bruxelles] avertissement sur SSL
>
> Thu, 3 Mar 2016 11:35:19 +0000
> Jean-Marie GODFRAIND <godfraind_jm at hotmail.com> écrivait :
>
> >
> > Merci pour la réponse.
>
> Rappel : DROWN est attaque de type "l'homme au milieu" qui permet d'exploiter une faille de sécurité d'un vieux protocole SSLv2 datant des années 90 et marqué comme obsolète depuis 2011 pour obtenir les certificats d'un serveur. Ces certificats peuvent parfois être utiliés par la suite pour déchiffrer les communications utilisant les nouvelles versions de protocole de chiffrement comme TLS.
>
> >
> > Déjà savoir qu'il faut mettre à jour le OpenSSL si on l'utilise, me semblait une info utile, évidemment pas pour tous. En ce qui me concerne, j'utilise le ssh et yunohost, donc ce qui implique OpenSSh.
>
> Si tu offres des services sur un serveur, oui, il faut mettre à jour openSSL.
>
> Cette faille n'impacte pas openSSH mais openSSL.
>
> >
> > Pour la majorité, savoir que même un site "https" pourrait ne pas être sécurisé, est quand même à garder en mémoire.
>
> Bon, alors, il faut savoir que la sécurité absolue n'existera jamais.
>
> Et que les administrateurs sont des gens comme tout le monde.
>
> Garder cela en mémoire permet effectivement de relativiser.
>
> >
> > Et tout cela fait suite aussi au débat sur la cryptographie accessible à "monsieur tout le monde" -utilisateur lambda-" vu que l'avertissement actuel fait suite à un vieux logiciel de cryptographie "affaibli volontairement il y a plusieurs années par les autorités", et qui continuait à être utilisé.
>
> Le fait que SSLv2 (la faille vient d'une exploitation des faiblesses de ce protocole) marqué comme obsolète depuis 2011 soit encore utilisé par certains sites n'est pas du ressort de monsieur tout-le-monde mais plutôt des administrateurs qui ne l'ont pas désactivé.
>
> >
> > Jean-Marie
> >
> > PS: je dois encore contrôler le système OpenSSh que j'utilise, et voir s'il y a un avertissement sécurité.
>
> Il n'y a pas d'avertissement de sécurité lié à DROWN pour openSSH à ma connaisssance.
>
> Jean-Marc <jean-marc at 6jf.be>
>
>
> _______________________________________________ Linux-bruxelles mailing
> list Linux-bruxelles at lists.bxlug.be
> https://listes.domainepublic.net/listinfo/linux-bruxelles
>
> _______________________________________________
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> https://listes.domainepublic.net/listinfo/linux-bruxelles
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20160312/9e00adaa/attachment-0003.html>

Plus d'informations sur la liste de diffusion Linux-bruxelles