Karlesnine.com

Aller au contenu Aller au menu Aller à la recherche

Tag - SSL

Fil des billets - Fil des commentaires

vendredi, juin 13 2008

MAJ certificat ssl apache 2

Par Charles-Christian Croix le vendredi, juin 13 2008, 12:15

Expiré

Le certificat généré à l'installation du paquet apache2 par dpkg est expiré ? Il est possible de le reconfigurer simplement

Stopper le serveur


/etc/init.d/apache2 stop

Supprimer le certificat


rm /etc/apache-ssl/apache.pem

Le recréé avec open-ssl


openssl req $@ -new -x509 -days 365 -nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem

Relancer le serveur


/etc/init.d/apache2 start

Vous pouvez généré pour mille ans si vous le souhaitez en modifiant la variable de l'option -days.

Et voila.

Plus d'information par ici http://www.debianadmin.com/install-and-configure-apache2-with-php5-and-ssl-support-in-debian-etch.html

mercredi, juin 4 2008

Debian et OpenSSL

Par Charles-Christian Croix le mercredi, juin 4 2008, 08:50 - Bad User Karma

Faille dans le package OpenSSL de Debian

Le 13 Mai 2008 le projet Debian annonçait que Lucian Bello avait trouvé une faille dans le package OpenSSL qui était distribué depuis la 17 septembre 2006. La bug en question est causé par la suppression des lignes suivante du fichier md_rand.c :


MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Après ma note du 19 mai 2008 Découverte d'une faille de sécurité critique dans OpenSSL de Debian qui comportait beaucoup de référence et de source d'information à consulter. Je vous invite aujourd'hui à lire l'article Debian OpenSSL Predictable PRNG Toys de H D Moor.

Dilbert Ramdom Generator

Aléatoire & Random....ou pas

Comme expliqué dans l'article préconisé avoir retiré ce code à pour effet de limité la génération de valeur aléatoire au seul numéro d'ID du processus générant la clé. Or, sous linux, par defaut, le nombre d'ID est limité a 32768. Ce qui est pour le moins un faible nombre de valeur possible.

lundi, mai 19 2008

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Par Charles-Christian Croix le lundi, mai 19 2008, 13:27 - Bad User Karma

Une jolie faille dans l'implémentation de openssl sur les systèmes linux de la famille DEBIAN [1] à été découverte et corrigée par une mise à jour le 14 mai 2008 : DSA-1571-1 openssl — predictable random number generator

Dit comme cela c'est pas trop flippant c'est voir même courant.

MAIS !

Cette faille implique que toute les clefs générer depuis le 17 septembre 2009 via openssl, ssh-keygen ou openvpn —keygen sont vulnérable et corruptible. [2]

EN PLUS !

Les clefs de type DSA ou DSS sont compromise / vulnérable car reposant exclusivement sur la génération de nombre aléatoire. DSA-1576-1 openssh — predictable random number generator

Pour comprendre les implications et les mesures à prendre je vous invite à prendre connaissance de cette note du blog Entierement.nu : Branle-bas SSH/SSL

En conclusion :

Mise à jours sur tout les serveurs de la et invalidation ou blocage de toute utilisation de clés potentiellement corrompues. Ceci représente une gros travail tel que décrit sur le wiki DEBIAN SSLkeys.

Ce n'est pas sans impacts (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...

[1] Ubuntu, Mepis, Linspire, Knoppix, tout ce qui marche en .deb mais pas le reste (RH, Fed, Gentoo etc.)

[2] OpenSSH, OpenVPN, certificat X.509, postfix, exim4, sendmail, imapd, https, sftp etc..

- page 1 de 2