Serveur dédié : mise en place du protocole DANE

Serveur dédié : mise en place du protocole DANE photo 2

Aujourd'hui, je vous montre comment mettre en place le protocole DANE sur votre serveur. En pré-requis, votre domaine doit: être servi en HTTPS avec un certificat TLS valide, être signé par DNSSEC. Cela prend environ 20 minutes à configurer, auxquelles s'ajouteront quelques heures afin que la résolution DNS avec les changements soit complète. DANE : l'authentification TLS sans autorité de certification DANE (DNS-based Authentication of Named Entities) est un protocole qui permet aux certificats X.509 - généralement utilisés pour TLS […]

Lire la suite »

Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine

Serveur dédié : mise en place de DNSSEC pour sécuriser les DNS d'un nom de domaine photo

Aujourd'hui, nous allons mettre en place DNSSEC afin d'ajouter une couche de sécurité supplémentaire dans la gestion des DNS de notre domaine. Principe de fonctionnement du DNS Le DNS (Domain Name System) est un maillon clé du fonctionnement d’Internet car la quasi-totalité des services en ligne utilisent des noms de domaine à un moment ou à un autre. Le DNS est organisé sous la forme d’une arborescence inversée, avec une « racine » dont dépendent les différentes « branches ». […]

Lire la suite »

Serveur dédié : produire une meilleure réserve d'entropie avec haveged

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo

Sur notre serveur dédié, nous avons parfois besoin de générer des nombres aléatoires avec une forte entropie, par exemple lorsque l'on génère une clé SSH, un certificat SSL/TLS ou une clé pour DNSSEC. Aujourd'hui, je vous propose donc un article un petit peu plus théorique, qui nous permettra d'améliorer la qualité des données aléatoires et l'entropie générale de notre serveur. On commence donc par la théorie et on enchaîne sur la partie technique. L'entropie ou le caractère aléatoire sous Linux […]

Lire la suite »

Bash : lister et redémarrer tous les services qui utilisent libssl après une mise à jour d'OpenSSL

openssl-grey

Lorsque l'on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d'être mises à jour. Idéalement, il faudrait rebooter le système mais lorsqu'il s'agit d'un serveur, ce n'est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version. Voici donc […]

Lire la suite »

Postfix : résoudre l'erreur "Untrusted TLS connection established to Gmail"

Postfix : résoudre l'erreur SASL "_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql" photo

En vérifiant les logs de mon serveur mail, je me suis aperçu que, malgré mon certificat, la connexion du serveur à un serveur sortant n'était pas entièrement chiffrée. Voici comment remédier à ce problème. Postfix : "untrusted connection SMTP" Concrètement, voici la transcription du log d'une connexion SMTP dite "untrusted connection SMTP" : postfix/cleanup: message-id= opendkim: DKIM-Signature field added (s=mail, d=example.com) postfix/qmgr: from=, size=483, nrcpt=1 (queue active) postfix/smtp: Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:4013:c01::1a]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) […]

Lire la suite »

Serveur dédié : retirer Varnish, devenu inutile avec HTTPS

varnish-cache-zen

J'ai vraiment aimé jouer avec Varnish. Le problème, c'est qu'en passant l'intégralité du site en HTTPS, il m'est devenu inutile. Varnish est incompatible avec HTTPS et ne le sera probablement jamais puisque les connexions chiffrées ne doivent, par définition, ne jamais être mises en cache. Par conséquent, j'ai décidé de le retirer temporairement du serveur : cela me fera un service de moins à gérer. Notez que je ne le désinstalle pas, je m'assure juste qu'on ne fait pas appel […]

Lire la suite »

Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy

Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy photo

Aujourd'hui, on va s'atteler à sécuriser le serveur de mail, géré par Postfix et Courier, pour utiliser notre certificat SSL et en ajoutant le Perfect Forward Secrecy. Ce tutoriel part du principe que votre serveur tourne sous Debian et que vous avez suivi le tutoriel précédent sur Postfix avec gestion d'utilisateurs virtuels, c'est-à-dire que le serveur de mail doit déjà être opérationnel. Vérification du fonctionnement du serveur de mail On commence par vérifier que le serveur est capable d'envoyer des […]

Lire la suite »

Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL

Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL photo

TLS est activé sur notre serveur Apache, WordPress sert désormais ses pages avec une connexion chiffrée et Webmin se sert de notre certificat SSL. Aujourd'hui, je cherche à lancer le client bittorent Transmission et... je tombe sur un message d'erreur qui m'empêche d'accéder son interface web : "Error code: ssl_error_rx_record_too_long". Voici donc comment corriger le problème et afficher l'interface Web de Transmission en HTTPS. Ce tutoriel prend moins de 10 minutes à réaliser. Erreur : "SSL received a record that […]

Lire la suite »

Serveur dédié : configurer Webmin en TLS avec un certificat SSL

Serveur dédié : configurer Webmin en TLS avec un certificat SSL photo

Après avoir ajouté la couche TLS/SSL au serveur Apache puis configuré WordPress pour fonctionner uniquement en HTTPS, je me suis intéressé à Webmin. Je n'utilise pas Webmin pour configurer le serveur parce que c'est une sacrée usine à gaz mais pour certaines choses, c'est utile. Erreur Webmin : Secure Connection Failed Après le passage aux connexions sécurisées, j'ai obtenu l'erreur suivante : Secure Connection Failed An error occurred during a connection to example.com:10000. The server presented a certificate with a […]

Lire la suite »

Serveur dédié : passer WordPress en HTTPS (TLS/SSL)

Serveur dédié : passer WordPress en HTTPS (TLS/SSL) photo

Vous avez sauté le pas et avez validé votre nom de domaine avec un certificat TLS/SSL. Très bien ! Voyons comment passer WordPress sur la version sécurisée de votre site. Il existe des plugins WordPress entièrement dédiés à SSL pour rediriger vers les pages sécurisées mais on peut très bien faire sans, avec un peu d'huile de coude. Le tutoriel est pour Debian et WordPress tourne sous Apache chez moi. Cela prend moins d'une heure pour configurer l'essentiel mais il […]

Lire la suite »

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy photo 1

Cela fait quelques mois que j'en parle mais aujourd'hui je le fais, je passe le site en HTTPS - ou techniquement en HTTP avec la couche TLS. Après les révélations d'Edward Snowden et les multiples affaires concernant les écoutes et les fuites des données des citoyens, je pense qu'il est temps de reprendre un peu les choses en main et de nous intéresser au chiffrement de nos connexions. La réalisation de ce tutoriel prend moins de 30 minutes, il y […]

Lire la suite »

La faille Heartbleed dans OpenSSL : mettez à jour vos serveurs

heartbleed

Heartbleed Dans la nuit du lundi 7 au mardi 8 avril 2014, une équipe de chercheurs du Codenomicon et le chercheur Neel Mehta de Google Security ont découvert une faille dans la librairie open-source OpenSSL, utilisée pour gérer la couche SSL/TLS de nombreux logiciels (serveurs webs, webmails, VPN, messagerie instantanée...). La faille, baptisée Heartbleed, est une vulnérabilité sérieuse dans le protocole d'encryption OpenSSL, utilisé pour chiffrer et sécuriser les connexions. Potentiellement, cette faille permet de dérober des données normalement chiffrées […]

Lire la suite »

Pin It on Pinterest

Spelling error report

The following text will be sent to our editors: