MouTonLibre

4 commentaires

Note : Alors juste un petit changement sur la forme de ma série .::13:37::., je ne vais plus mettre ce « logo » dans le titre des articles. Je trouve que ça alourdit pas mal la page pour pas grand chose. En revanche, vous pouvez toujours lister les articles de cette série en utilisant le tag « 1337 », tout simplement. :)

Sinon je me suis fait pirater ma carte bleue... Mais je ne suis pas le seul, une demi-douzaine de collègue aussi... Simultanément. Le truc positif est que ça a permis de remonter à la source du problème : un hôtel.

Ben ouai, il y a encore des cons pour développer des sites web qui te demandent tes informations de carte bancaire pour une réservation et qui vont :

  1. les stocker en clair dans une base de données ;
  2. ne pas les supprimer une fois le paiement effectué ;
  3. se démerder pour offrir une faille de sécurité.

Bravo.

Au moins cela m'a permis de voir que je disposais d'e-carte pour les paiements sur internet. Donc voilà, je me suis fait avoir une fois et maintenant je suis devenu paranoïaque...

9 commentaires

Suite aux différentes remarques reçues via les commentaires de mon article sur Let's Encrypt, j'ai décidé de remettre un peu les mains dans le cambouis.

Ma configuration de Nginx était un peu flaibarde et trop simpliste. Ce qui me donnait une note de B au SSL server test de Qualys SSL labs. En suivant le tutoriel donné par Angristan, j'ai donc remis à jour ma configuration de Nginx.

Cela aurait pu durer 5 minutes, le temps d'écrire les lignes, mais non. Disons que chez moi, ça ne marche jamais du premier coup. La faute à l'activation du protocole spdy qui, je ne sais pas pourquoi, fait tout planter... Pour résoudre le problème j'ai donc été forcé d'ignorer la ligne :

listen 443 ssl spdy;

pour réécrire la ligne « par défaut » :

listen 443 ssl;

Bon hormis ce petit problème, la configuration donnée par Angristan est géniale&nbsp! Merci à toi.

Et pour conclure je me permets donc de comparer ma configuration à celle de ma banque (haha). À vous de juger.

LCL niveau Cblog niveau A

11 commentaires

Suite à de nombreuses remarques quant à ma sécurisation SSL bidon dans les commentaires de mon précédent article, j'ai décidé de corriger ça ce soir.

Dans un premier temps, je me servais d'un certificat auto-signé. Et autant vous dire que les navigateurs ne me considéraient pas comme une entité de toute confiance. À raison. Non pas que je cherche à pirater des données personnelles, mais bien parce que techniquement je me classe dans la catégorie des amateurs. Et n'ayant même pas confiance en moi, je vois mal des organismes m'accorder la leur.

Donc pour faire un peu plus sérieux, et accessoirement pour sauver mon flux RSS, je suis passé par le service de certification gratuit "Let's Encrypt". Et il n'y a pas à dire, ça assure.

Pour générer des certificats, rien de plus simple. Dans un permier temps, on installe Let's Encrypt :

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

À partir de là, il faut couper le serveur (et comme je suis un fou, j'ai fait ça le soir pour faire chier le plus de personne possible) avec la commande suivante (avec Nginx comme logiciel de serveur web) :

service nginx stop

Et là vous vous hallucinez car vous reconnaissez SysV et non systemd... Oui j'aime nager à contre-courant (en fait je n'ai rien choisit mais on s'en fou, c'est pour la postérité). Mais là n'est pas la question et si jamais vous êtes sous systemd, la commande pour couper le service est :

systemctl stop nginx

À ce moment là, il ne reste plus qu'à générer les couples certificats/clés avec cette commande :

./letstencrypt-auto certonly --standalone --agree-tos --email email@exemple.org -d exemple.org

Après quelques secondes, vous retrouverez le certificat (fullchain.pem) et la clé (privkey.pem) dans le dossier suivant :

/etc/letsencrypt/live/exemple.org/

Et... C'est tout ! Il ne vous reste plus qu'à changer la configuration de Nginx pour prendre en compte les nouveaux certificats et le tour est joué. Simple comme bonjour.

Juste un détail, quand vous définissez l'adresse du certificat dans la configuration de Nginx, ne faites pas une erreur de frappe comme moi... Ça peut vous ruiner une soirée.