Archives pour l'étiquette SSL

MAJ certificat ssl apache 2

Expiré

Le certificat généré à l’installation du paquet apache2 par dpkg est expiré ? Il est possible de le reconfigurer simplement

Stopper le serveur


/etc/init.d/apache2 stop

Supprimer le certificat


rm /etc/apache-ssl/apache.pem

Le recréé avec open-ssl


openssl req $@ -new -x509 -days 365 -nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem

Relancer le serveur


/etc/init.d/apache2 start

Vous pouvez généré pour mille ans si vous le souhaitez en modifiant la variable de l’option -days.

Et voila.

Plus d’information par ici http://www.debianadmin.com/install-and-configure-apache2-with-php5-and-ssl-support-in-debian-etch.html

Debian et OpenSSL

Faille dans le package OpenSSL de Debian

Le 13 Mai 2008 le projet Debian annonçait que Lucian Bello avait trouvé une faille dans le package OpenSSL qui était distribué depuis la 17 septembre 2006. La bug en question est causé par la suppression des lignes suivante du fichier md_rand.c :


MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Après ma note du 19 mai 2008 Découverte d’une faille de sécurité critique dans OpenSSL de Debian qui comportait beaucoup de référence et de source d’information à consulter. Je vous invite aujourd’hui à lire l’article Debian OpenSSL Predictable PRNG Toys de H D Moor.

Dilbert Ramdom Generator

Aléatoire & Random….ou pas

Comme expliqué dans l’article préconisé avoir retiré ce code à pour effet de limité la génération de valeur aléatoire au seul numéro d’ID du processus générant la clé. Or, sous linux, par defaut, le nombre d’ID est limité a 32768. Ce qui est pour le moins un faible nombre de valeur possible.

Découverte d’une faille de sécurité critique dans OpenSSL de Debian

Une jolie faille dans l’implémentation de openssl sur les systèmes linux de la famille DEBIAN [1] à été découverte et corrigée par une mise à jour le 14 mai 2008 : DSA-1571-1 openssl — predictable random number generator

Dit comme cela c’est pas trop flippant c’est voir même courant.

MAIS !

Cette faille implique que toute les clefs générer depuis le 17 septembre 2009 via openssl, ssh-keygen ou openvpn —keygen sont vulnérable et corruptible. [2]

EN PLUS !

Les clefs de type DSA ou DSS sont compromise / vulnérable car reposant exclusivement sur la génération de nombre aléatoire. DSA-1576-1 openssh — predictable random number generator

Pour comprendre les implications et les mesures à prendre je vous invite à prendre connaissance de cette note du blog Entierement.nu : Branle-bas SSH/SSL

En conclusion :

Mise à jours sur tout les serveurs de la et invalidation ou blocage de toute utilisation de clés potentiellement corrompues. Ceci représente une gros travail tel que décrit sur le wiki DEBIAN SSLkeys.

Ce n’est pas sans impacts (fichiers authorized_keys & know_hosts obsolètes…). Même problème pour les certificats : j’espère que personne n’a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats…


[1] Ubuntu, Mepis, Linspire, Knoppix, tout ce qui marche en .deb mais pas le reste (RH, Fed, Gentoo etc.)

[2] OpenSSH, OpenVPN, certificat X.509, postfix, exim4, sendmail, imapd, https, sftp etc..

Certificat imapd ssl expiré….Tiens encore un an de passé.

Chaque année c’est la même histoire, le certificat de mon serveur imap à expiré. J’ai tellement l’habitude que j’ai consacré un article sur : Comment mettre à jour le certificat ssl du paquet debian courier-imap-ssl.

Mais la j’en ai marre, je veux un certificat qui dure 10 ans et que on n’en parle plus.

Modifier le duré du certificat

La durée du certificat est par défaut de 365 jours, si cela vous conviens vous pouvez passer à l’étape suivante immédiatement. Dans le cas contraire un petit hacking est nécessaire.

En recherchant les fichier du package courier-imap-ssl que l’on trouve dans ce fichier :


vi /var/lib/dpkg/info/courier-imap-ssl.list

On découvre que le fichier usr/lib/courier/mkimapdcert qui semble nécessaire d’après son nom à la génération automatique du certificat au moment de l’installation du paquet.

Un petit coup d’oeil dedant et on trouve la belle ligne de script de génération du certificat :


33 cd /usr/lib/courier
34 dd if=/dev/urandom of=/usr/lib/courier/imapd.rand count=1 2>/dev/null
35 /usr/bin/openssl req -new -x509 -days 365 -nodes \
36 -config /etc/courier/imapd.cnf -out /usr/lib/courier/imapd.pem -keyout /usr/lib/courier/imapd.pem || cleanup
37 /usr/bin/openssl gendh -rand /usr/lib/courier/imapd.rand 512 >>/usr/lib/courier/imapd.pem || cleanup
38 /usr/bin/openssl x509 -subject -dates -fingerprint -noout -in /usr/lib/courier/imapd.pem || cleanup
39 rm -f /usr/lib/courier/imapd.rand

Maintenant pas besoin d’être un génie pour voir qu’il suffit de modifier la ligne 35 et le paramètre -days pour générer un certificat valable pendant 3650 jours (100 ans)

MAJ certificat ssl apache 1.3

Le certificat est généré à l’installation du paquet apache-ssl par dpkg. Il est possible de le reconfigurer simplement en réutilisant la procédure d’installation.

Stopper le serveur


/etc/init.d/apache-ssl stop

Supprimer le certificat


rm /etc/apache-ssl/apache.pem

Supprimer le lien symbolique sur ce fichier dans le répertoire


/etc/apache-ssl

Relancer la configuration


dpkg-reconfigure apache-ssl

Le certificat généré à un duré de un mois. Pour avoir une duré supérieur le paramètre de openssl est -days.

Le script lancer par la procédure d’installation ou de reconfiguration est : /usr/sbin/make-ssl-cert

A la ligne 90 de ce script remplacer


openssl req -config $TMPFILE -new -x509 -nodes -out $output \

Par


openssl req -config $TMPFILE -days 365 -new -x509 -nodes -out $output \

ici le certificat est valable 365 jours

Relancer en suite la configuration


dpkg-reconfigure apache-ssl

Ou la commande si dessous qui est l’équivalent


/usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache-ssl/apache.pem