Archives mensuelles : juin 2013

StartSSL – Une autorité de certification raisonnable

Disposer de services sécurisés par un certificat ssl est devenu indispensable dès lors que l’on propose un espace ou la vie privée à sa place et à fortiori si il y a échange de mot de passe.

Il est toujours possible de se générer un certificat auto-signé, cela ne coute rien et chiffre aussi efficacement les données que s’il émanait de Verisign ou Thawte. Cependant le “client” qui ne vous connait pas, ne profite pas d’une relation de confiance auprès d’un tiers qui lui garanti que vous êtes bien qui vous prétendez être (il vous a identifié et à associé la propriété du nom de domaine à votre personne/entreprise).

Heureusement, il n’y a pas que des requins prets à faire payer des sommes folles pour des services totalement dénués de coûts réels et justifiant leurs pratiques commerciales par des assurances et des garanties dont vous n’avez sans doute pas besoin (sauf vous êtes une banques ou un très gros site de vente en ligne).

StartSSL (https://startssl.com) est un partenaire fiable, reconnu nativement par tous les grands navigateurs de dernières générations et qui ne fait payer que les services qui lui coûtent (intervention humaine) ou qui auraient pu être évités (révocations de certificats sans motif valable).

Niveaux de validation

Class 1 : Validation de base (gratuit)

Cela consistera à valider votre adresse courriel et/ou un nom de domaine, c’est toujours le même principe : envoi d’un code sur l’adresse courriel choisie ou d’administration du domaine (au choix hostmaster@ postmaster@)

La validation est valable 30 jours durant lesquels vous pouvez créer des certificats SSL/TLS ou S/MIME gratuits à volonté qui auront une validité d’1 an. Après ces 30 jours vous devrez recommencez le processus de validation pour l’adresse ou le domaine si vous désirez créer de nouveaux certificats.

Attention ce niveau de validation ne permet pas de gérer plusieurs domaines ni de créer des certificats génériques du type *.votredomaine.tld Pour ce faire il faut passer à l’étape payante de la classe 2.

Class 2 : Validation d’identité/d’organisation

59.99$ chaque
Là vous devrez fournir des documents d’identité (Carte d’identité, passeport, permis de conduire) et/ou un mandat de votre entreprise, les statuts, etc pour l’organisation. La validation d’un organisation suppose d’avoir préalablement rélaisé la validation d’identité et implique un second paiement soit dans ce cas 119.98$ au total.

La validation de couriels et domaines pour 30 jours est toujours de mise, mais vous pouvez générer des certificats valides pour 2 ou 3 ans et disposer de domaines multiples dans vos certificats ainsi que de *.votredomaine.tld

D’autres options sont encore possibles, à consulter sur le site, mais ce n’est pas le propos ici.

Créer son compte

S’inscrire

Une fois sur le site, on choisi l’icône en haut à droite de l’écran : login
On arrive sur une page où il sera possible de s’identifier à l’avenir pour gérer sa PKI et surtout, où nous allons créer notre premier compte (il faut un compte pour chaque entreprise, pas pour chaque domaine).
Nous choisissons donc Sign-Up : Sign-up

Nous remplissons le formulaire. Tous les champs doivent être remplis par des informations réelles et personnelles, ces informations seront vérifiées par la suite (par exemple, validation auprès des annuaires téléphonique du lien entre nom, téléphone et adresse).

En cliquant sur “Continue“, nous devons confirmer que les informations ont été remplies de façon conforme et honnête et que nous adhérons aux règles de l’Autorité de Certification (CA).

Un mail est envoyé à l’adresse mentionnée et le code de vérification qu’il contient nous est à présent demandé.

Certificat d’identification privé

Le site vous invite alors à choisir un niveau de sécurité pour ce certificat et cliquer sur “Continuer”
L’écran suivant vous invite à installer ce certificat dans votre navigateur en cliquant sur “Installer”, c’est ce qui vous permettra de vous authentifier à l’avenir sur le site pour pouvoir gérer vos domaines et certificats associés.

Votre navigateur vous informe que l’opération à été menée à bien et la page suivante vous informe qu’il est important de sauvegarder cette clé, pour le cas ou vous devez changer d’ordinateur ou de navigateur par exemple … sans cette clé, plus d’accès à votre compte StartSSL !

Read more

Valider son courriel et son domaine

A présent, vous devez valider une adresse courriel ou un domaine avant de pouvoir générer des certificats respectivement de type S/MIME ou SSL/TLS pour ce faire aller dans l’onglet intitulé “Validations Wizard” et sélectionnez l’objet approprié dans le menu déroulant, la procédure est du même genre que précédemment :

  • introduire courriel ou domaine
  • “suivant”
  • récupérer le code envoyé par mail et l’injecter dans le formulaire

Une fois cette(ces) étape(s) accomplies, on peut créer son premier certificat de domaine

Créer son premier certificat

Pour cela on se rend dans l’onglet “Certificates Wizard” et choisir par exemple “Web Server SSL/TLS Certificate” et cliquez sur “Continue”

A ce stade, soit vous voulez générer une clé privée pour le serveur sur lequel vous souhaitez un certificat et vous produirez également un certificate server request (CSR)

alors, sous linux, réalisez cette Read more

Soit ce n’est pas le cas et nous allons créer ce qu’il faut au travers de l’interface web de StartSSL.
Il faut alors choisir un mot de passe (à introduire 2x pour vérification)
ainsi que la taille de la clé (2048 ou 4096) et l’algorithme de hashage (SHA1 ou 2). Les paramètres proposés par défaut sont bien suffisants mais vous pouvez en changer si vous n’utilisez pas le certificat sur un windows XP ou 2003 car il serait incapable de gérer des valeurs plus élevées que celles par défaut.

Nous arrivons sur une page ou à été généré une clé privé et nous devons copier/coller le contenu du cadre, en ce compris les balises de début “—–BEGIN RSA PRIVATE KEY—–” et de fin “—–END RSA PRIVATE KEY—–”.
Vous devez ensuite ouvrir un éditeur de texte sur le serveur, coller le contenu et sauvegarder le fichier :

En utilisant la commande suivante et en fournissant le mot de passe, nous allons créé une second clé déprotégée

Passer à la page suivante ou vous choisissez le domaine pour lequel vous souhaitez générer le certificat et ensuite indiquer le nom d’hôte relatif à ce domaine. Le certificat sera valide pour hôte.domaine.tld et domaine.tld.

Parfois immédiatement, parfois en différé (via notification par courriel) vous serez informez que le certificat est prêt.
Si c’est immédiat, vous aurez à nouveau une fenêtre pour réaliser un “copier” (comme pour la clé privé) et vous collez le contenu, balises de début et de fin incluses, dans un fichier texte.

Récupérer le root CA et les intermédiaires

Dans le portail de la PKI, le premier onglet à côté des “wizards” est la boîte à outil (Toolbox)
l’un des items est “StartCom CA Certificates”, il mène à une liste de liens permettant de récupérer les éléments de la chaine de certification.

Il est alors possible de copier les adresses de ces certificats et les télécharger par exemple à l’aide de la commande wget exécutée depuis le répertoire de stockage définitif

Dabord le root CA:

Puis l’intermédiaire pour les certificats de classe 1

Ou celui validant les certificats de classe 2

Exemple d’utilisation de ces éléments

configuration web dans Apache

configuration xmpp dans eJabberd

Se méfier de la NSA… ou, bien en amont, de Google, Facebook etc. ?

Je suis très inquiet, certes par les révélations liées au programme PRISM et le fait qu’il fasse partie d’un plan plus large et plus global, mais aussi et surtout par l’absence de réaction en dehors du milieu des professionnels … Ces enjeux sont les nôtres. Et bien en amont des grandes oreilles et du cerveau américain qui traite toutes ces informations, ils y a des entreprise, des géants à qui nous confions nos données et qui peuvent elle même en user et en abuser …

Fondamentalement, qu’un gouvernement démocratique dispose d’outils de recoupement de données pour prévenir des actes malveillants me semble même faire partie de son rôle … même si nous ne vivons pas dans un monde idéal ou de Bisounours et qu’il est donc essentiel que le contrôle démocratique que cela implique soit correctement assuré et les procédures légales respectées !

Il ne me parait pas normal qu’un gouvernement démocratique, chargé notamment par ses citoyens de maintenir l’ordre, en sache moins que des multinationales aux intérêts bien plus concentrés qu’il n’y parait dans des mains de quelques propriétaires privés et incontrôlés. Bien sur, je ne suis pas Américain et ce n’est donc pas de mon gouvernement qu’il s’agit … mais ce n’est pas parce que le nôtre est plus discret qu’il n’espionne pas, ne procède pas à des recoupements et autre travail d’intelligence pour agir …

Même si et peut-être surtout parce que nous avons tous Besoin et Droit à une vie privée, par définition non accessible à tout un chacun … j’ai en réalité beaucoup plus de mal, fondamentalement, avec le fait que des sociétés privées, gigantesques, pilotées par- ou étant elle même des groupes de lobby d’une puissance extraordinaire disposent d’autant d’information a mon sujet. Le plus dingue étant que je n’ai même pas besoin d’être présent sur leur outils ou de les utiliser pour qu’elles disposent de ces informations. En effet, il suffit que quelques personnes évoquent mon nom, me glissent dans des groupes ou des listes de diffusion pour que, par recoupement mathématique à grande échelle, mon profile se dessine.

Je ne peux donc même pas : “juste faire attention à ce que je dis”, utiliser certains outils plutôt que d’autres, … Il faut aussi que je sensibilise mon entourage, que je débatte avec eux de ces questions essentielles et qu’ensemble, nous décidions de changer de comportement. C’est collectivement que nous pouvons réduire l’emprise potentielle des services que nous utilisons et partant, de ce qu’une Intelligence à grandes oreilles peut faire des informations ainsi disponibles.

Les questions sont là, en vrac et sans exhaustivité :

  • infrastructure chez des géants du net plutôt que décentralisée, localisée et fédérée ?
  • consommation passive et insouciante ou active et responsable ?
  • les services gratuits font de nous des consommateurs-produits. La liberté à un prix !
  • logiciels propriétaires ou  libres ?

M’affranchir de Google

Cela n’est pas encore à la porté de chacun, mais comme cela semble dans mes cordes techniques et financières, je me suis décidé à faire le grand saut (par petits bonds). Je suis convaincu que la liberté à un prix (un peu de sueur et/ou d’argent) et j’adhère à l’adage selon lequel “si le service que tu utilises est gratuit, c’est que c’est toi le produit”.

La perte de mes “notebooks” fermés par Google il y a bien longtemps avait jetté un froid. La possible disparition de Delicious m’a incité à reprendre mes bookmaks  dans Firefox, certes l’aspect réseau-social en moins, mais je suis convaincu que ce ne sera que temporaire. C’est véritablement lors de l’annonce de la suppression du service Google Reader que j’ai senti comme un coup de poignard dans le dos … j’utilisais ce service tous les jours et on m’annonçait purement et simplement sa fin imminente, “récupérez vos données et débrouillez-vous !”. Au moins je pouvais récupérer mes flux … mais la prochaine fois ? Je ne voulais donc pas choisir un autre service en ligne.

Mon idée de base était de m’installer Tiny Tiny RSS sur une machine payante pour y inscrire mes abonnements rss et reprendre ma lecture quotidienne de l’actu choisie. Le fait de pouvoir republier un nouveau flux avec les lectures marquantes rejoignait mes besoins jusqu’alors rencontrés par Google Reader.

Mais, je sentais que quelque chose de plus devait changer. La lectures des posts de mon ami Eschnou n’y sont sans doute pas étrangers. La découverte, au travers de ceux-ci, de la mouvance #indieweb des projets comme own your comments, des blogs comme FreeYourSpeech ou plus directement concret comme RTC quickstart relatifs à ma distribution linux de prédilection…Tout cela m’a incité en tant que passioné a voir un peu plus grand et … qui sait, cela pourrait bien ne pas s’arrêter de si tôt.

J’ai donc décidé de me prendre un hébergement payant sur une machine dédiée chez OVH. Ce ne sont sans doute pas les meilleurs, mais un bon rapport qualité-prix pour toutes mes expériences. 60€/mois et hop je dispose d’une machine “légèrement” surdimensionnée (4 coeurs, 16Gb de RAM, 2TB en raid1) pour réaliser mes expériences : installer Proxmox VE (virtualisation) et propulser toute un groupe de serveurs divers et spécifiques.

Mon projet aura, je l’espère, au moins 2 volets :

  1. la mise en place des services dont j’ai besoin pour m’affranchir autant que possible de Google et autres
  2. la publication sur le présent blog, de mes choix (présentation des solutions) et de pas-à-pas (comment j’ai fait pour les installer)
    .
    .
    .
  3. et soyons fous, peut-être avec le temps et beaucoup d’aide, contribuer à faire que chacun puisse disposer, de sa propre solution intégrée, à fédérer avec les autres, sans besoin de connaissances techniques.

Je prévois donc de vous revenir prochainement avec des détails sur ces projets :

Google Reader => Tiny Tiny RSS
DropBox => AjaxPlorer
Bitly => Yourls
Google Talk => ejabberd & Xabber etc.
Gmail => SOGo, Thunderbird, K9 mail, etc.

Google => Duck Duck Go

Googl Account => Mozilla Persona

Androïd => Firefox OS