Un retour d’expérience est toujours utile à avoir. Je mets donc en avant celui-ci sur une mise en place de Let’s Encrypt via acme.sh sur une debian avec un serveur web nginx.
Archives par mot-clé : tls
L’attaque des DROWN
Nouvelle faille de grande envergure, le SSLv2, pourtant dépassé, permet de passer outre le TLS et d’intercepter et lire des connexions chiffrées. A ne pas négliger.
Heartbleed : amusez-vous à comprendre la faille
Cloudflare a mis en ligne une page très intéressante pour les petits curieux au sujet de Heartbleed avec à disposition un site qui permettait d’essayer de récupérer la clé soit disante accessible via cette faille.
N’hésitez pas à y jeter un oeil, ne serait-ce que pour la culture de la sécurité informatique des serveurs.
Heartbleed : mettez à jour vos serveurs SSL/TLS !
Une faille, visiblement très critique, compromet la sécurité de nos informations transmises sur Internet, si vous avez des serveurs et que vous les administrez, il y a de grande chance pour que ceux-ci soient vulnérables au niveau de SSL/TLS.
Pour expliquer rapidement, une attaque de type buffer overflow (dépassement de tampon) qui consiste à envoyer des données dans une certaine taille et un certain format permet d’accéder aux données qui ont pourtant été transmises de manière chiffrées sur le serveur.
Vous pouvez corriger cette faille de manière très simple, un apt-get update && apt-get upgrade ou yum update devrait corriger le problème. Pensez à redémarrer les services utilisant les librairies ou dans le doute redémarrez complètement le serveur avec un reboot.
Et tester finalement votre serveur à cette adresse pour vérifier que vous avez corrigé le problème.
Plus d’informations sur Heartbleed bug.