WordPress : forcer le chargement des média oEmbed en HTTPS

WordPress : afficher des média oEmbed avec HTTPS photo

Lorsque le site est servi via HTTPS, toutes les ressources - même les ressources oEmbed automatiquement générée par WordPress - qui composent une page doivent également être servies via une connexion chiffrée aussi. Il se trouve que je mets des vidéos Youtube et consorts de temps en temps : elles ne s'affichaient plus en https, étant servies par défaut en http. Le changement vers HTTPS est en marche mais tous les services oEmbed n'ont pas encore adopté le chiffrement des […]

Lire la suite »

Hébergement OVH : passer à TLS 1.2 pour WooCommerce et PayPal

Hébergement OVH : passer à TLS 1.2 pour WooCommerce et PayPal photo 1

Si vous possédez une boutique en ligne et que vous acceptez PayPal comme moyen de paiement, vous n'êtes pas sans savoir qu'à partir du 30 juin 2017, PayPal exigera une connexion TLS version 1.2 pour gérer la transaction entre votre boutique et PayPal. Concrètement, votre serveur ou votre hébergement doit être configuré pour servir les pages en https (certificat SSL obligatoire) et avec une version d'OpenSSL qui donne la priorité au protocole TLS version 1.2. Chez OVH, la version d'OpenSSL […]

Lire la suite »

Linux : résoudre l'erreur APT de clé publique : "no public key available for the following key IDs"

Linux : résoudre l'erreur APT "there is no public key available for the following key IDs" photo

Pas de clé publique disponible pour vérifier l'authenticité des dépôts [no_toc] Au lancement de la mise à jour des paquets du serveur, je suis tombé sur le message d'erreur suivant : W: There is no public key available for the following key IDs: 8B48AD6246925553 W: There is no public key available for the following key IDs: 8B48AD6246925553 W: There is no public key available for the following key IDs: 8B48AD6246925553 Visiblement, APT a perdu ses petits et ne retrouve plus […]

Lire la suite »

Serveur dédié : ajouter le domaine à la liste HSTS preload

Serveur dédié : ajouter le domaine à la liste HSTS preload photo 1

Maintenant que votre site est servi en HTTPS à l'aide d'un certificat SSL/TLS et sécurisé par DNSSEC et DANE, il est maintenant temps de l'ajouter à la liste HSTS preload. HSTS (HTTP Strict Transport Security) est un entête de réponse qui demande au navigateur de toujours utiliser SSL/TLS pour communiquer avec votre site. Qu'importe si l'utilisateur ou le lien qu'il clique spécifie HTTP, HSTS forcera l'usage d'HTTPS. Toutefois, cela laisse l'utilisateur vulnérable lors de sa toute première connexion à un […]

Lire la suite »

Apache : résoudre l'erreur "421 Misdirected Request"

Apache : résoudre l'erreur "421 Misdirected Request" photo

Après la mise à jour d'Apache et HTTP/2, il est apparu un nouveau type d'erreur : l'erreur 421 Misdirected Request. Erreur 421 : erreur de configuration mod_ssl entre Virtual Hosts Ce type d'erreur arrive lorsque: HTTP/2 est activé, les paramètres SSL de plusieurs Virtual Hosts diffèrent du serveur responsable du handshake SSL/TLS. En analysant le changelog d'Apache 2.4.18, je me suis rendu compte que si les paramètres SSL et notamment la liste des ciphers utilisables ne sont pas équivalentes entre […]

Lire la suite »

Serveur dédié : mettre à jour Apache et configurer le mod_http2 pour HTTP/2

Serveur dédié : mettre à jour Apache et configurer le mod_h2 pour HTTP/2 photo

C'est sur toutes les lèvres : 2015 aura vu l'arrivée de PHP7 et de la révision du protocole HTTP qui passe à la version 2, en remplacement du mod_spdy de Google. Tout cela promet pas mal de gains de performance donc il est très tentant de le vérifier par nous-mêmes. HTTP/2 : une évolution du protocole HTTP Avec HTTP/1.1, la vie des développeurs n'était pas simple. L'optimisation d'un site revenait à plusieurs techniques qui tournaient toutes autour de l'idée de […]

Lire la suite »

8 règles d'or pour bien déployer DNSSEC et DANE

8 règles d'or pour un bon déploiement de DNSSEC et DANE photo

Vous avez sécurisé votre domaine avec DNSSEC et DANE ? Très bien ! Il a cependant quelques petites choses à garder à l'esprit pour anticiper les difficultés et bien gérer la maintenance. De la rigueur dans la gestion des enregistrements DS (DNSSEC) et TLSA (DANE) Les enregistrements au niveau du DNS sont à manipuler avec précaution, ce ne sont pas le genre de choses que l'on peut configurer une bonne fois pour toute. On ne publie pas des enregistrements DS […]

Lire la suite »

Serveur dédié : mise en place du protocole DANE

Serveur dédié : mise en place du protocole DANE photo 2

Aujourd'hui, je vous montre comment mettre en place le protocole DANE sur votre serveur. En pré-requis, votre domaine doit: être servi en HTTPS avec un certificat TLS valide, être signé par DNSSEC. Cela prend environ 20 minutes à configurer, auxquelles s'ajouteront quelques heures afin que la résolution DNS avec les changements soit complète. DANE : l'authentification TLS sans autorité de certification DANE (DNS-based Authentication of Named Entities) est un protocole qui permet aux certificats X.509 - généralement utilisés pour TLS […]

Lire la suite »

Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine

Serveur dédié : mise en place de DNSSEC pour sécuriser les DNS d'un nom de domaine photo

Aujourd'hui, nous allons mettre en place DNSSEC afin d'ajouter une couche de sécurité supplémentaire dans la gestion des DNS de notre domaine. Principe de fonctionnement du DNS Le DNS (Domain Name System) est un maillon clé du fonctionnement d’Internet car la quasi-totalité des services en ligne utilisent des noms de domaine à un moment ou à un autre. Le DNS est organisé sous la forme d’une arborescence inversée, avec une « racine » dont dépendent les différentes « branches ». […]

Lire la suite »

Serveur dédié : produire une meilleure réserve d'entropie avec haveged

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo

Sur notre serveur dédié, nous avons parfois besoin de générer des nombres aléatoires avec une forte entropie, par exemple lorsque l'on génère une clé SSH, un certificat SSL/TLS ou une clé pour DNSSEC. Aujourd'hui, je vous propose donc un article un petit peu plus théorique, qui nous permettra d'améliorer la qualité des données aléatoires et l'entropie générale de notre serveur. On commence donc par la théorie et on enchaîne sur la partie technique. L'entropie ou le caractère aléatoire sous Linux […]

Lire la suite »

Bash : lister et redémarrer tous les services qui utilisent libssl après une mise à jour d'OpenSSL

openssl-grey

Lorsque l'on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d'être mises à jour. Idéalement, il faudrait rebooter le système mais lorsqu'il s'agit d'un serveur, ce n'est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version. Voici donc […]

Lire la suite »

Postfix : résoudre l'erreur "Untrusted TLS connection established to Gmail"

Postfix : résoudre l'erreur SASL "_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql" photo

En vérifiant les logs de mon serveur mail, je me suis aperçu que, malgré mon certificat, la connexion du serveur à un serveur sortant n'était pas entièrement chiffrée. Voici comment remédier à ce problème. Postfix : "untrusted connection SMTP" Concrètement, voici la transcription du log d'une connexion SMTP dite "untrusted connection SMTP" : postfix/cleanup: message-id=<[email protected]> opendkim: DKIM-Signature field added (s=mail, d=example.com) postfix/qmgr: from=<[email protected]>, size=483, nrcpt=1 (queue active) postfix/smtp: Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:4013:c01::1a]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) […]

Lire la suite »

Pin It on Pinterest

Spelling error report

The following text will be sent to our editors: