Chiffrement


générer une longue passphrase

export LC_CTYPE=C; cat /dev/random | tr -dc 'a-zA-Z0-9&#{([|_@)]=}+$*?,.;/:§!><\-' | fold -w 1024 | head -n 1 /dev/random : on peut le remplacer par /dev/urandom si la machine a trop peu d'entropie (i.e. si la commande ci-dessus prend trop de temps) 1024 : c'est la taille, le nombre de caractères de [...]

quelques sécurisations de sites Web

Un site Web peut être sécurisé de plusieurs manières différentes, cumulables. Regardons-en quelques unes, à quoi elles servent et comment les mettre en place. HTTPS / SSL / TLS À présent, le nom de la norme est "TLS". Mais à l'oral, on dit encore "SSL" (qui est l'ancien nom de [...]

validité d’un certificat TLS

Il y a plusieurs critères à respecter pour qu'un certificat TLS soit reconnu valide. Si un seul de ces critères n'est pas suivi, alors le certificat est invalide et n'apporte aucune sécurité ! Sa présence pourrait même faire croire à une fausse sécurité ! Nom du certificat = URL du [...]

Pour tester proprement une connexion TLS, il faut taper la commande suivante :
openssl s_client -crlf -servername $WEBSITE-NAME -connect $HOSTNAME:$PORT

La commande -crlf sert pour certaines versions récentes d’Apache, il s’agit d’éviter l’erreur suivante :
AH00566: request failed: malformed request line

La commande -servername $WEBSITE-NAME sert pour utiliser le protocole SNI.


convertir des certificats

À partir d'un format PEMvisualiser le contenu d'un PEM Un PEM est un fichier texte contenant 1 ou plusieurs certificats concaténés. Pour les repérer, chaque certificat commence par une ligne de la forme -----BEGIN CERTIFICATE----- et se termine par la ligne -----END CERTIFICATE-----. Prenez votre éditeur de texte préféré (éditeur [...]

chiffrement de fichiers avec openssl

Chiffrer un fichier avec openSSL Peu de personnes le savent. OpenSSL ne permet pas seulement de manipuler des clefs asymétriques (certificats TLS), mais également de gérer des clefs symétriques. On peut donc utiliser ce logiciel à des fins de chiffrement réversible, pour des échanges de fichiers ou un chiffrement de [...]