OpenSSL / Heartbeat : mises à jour

Le
Alain Vaugham
Bonsoir la liste,

J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.

Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas,=
ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?

Merci par avance.




> Date: Mon, 07 Apr 2014 21:36:46 +0000
> De: Salvatore Bonaccorso <carnil@debian.org>
> À: debian-security-announce@lists.debian.org
> Sujet: [SECURITY] [DSA 2896-1] openssl security update

Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html

Constaté aujourd'hui : ceux qui ont réagi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=4

Constaté aujourd'hui : ceux qui n'ont pas réagi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/





--
Alain Vaugham
Clef GPG : 0xDB77E054673ECFD2

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140513231904.6b2f24a3@mach07.localdomain
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwan David
Le #26133872
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,

J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.

Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?

Merci par avance.




Oui seuls les oepnssl de 1.0.0 à 1.0.1f sont concernés (sauf là aussi
ceux où le correctif a été backporté, comme celui qui a été mis à jour
dans Debian Stable)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Daniel Huhardeaux
Le #26133902
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,



Bonsoir

J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.

Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?



Ne sont concernés que les versions OpenSSL >= 1.0 et < 1.0.1g

Par exemple, ceux ayant créé les certificats sous Squeeze ne sont pas
concernés.

Date: Mon, 07 Apr 2014 21:36:46 +0000
De: Salvatore Bonaccorso À:
Sujet: [SECURITY] [DSA 2896-1] openssl security update


Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html

Constaté aujourd'hui : ceux qui ont réagi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=4

Constaté aujourd'hui : ceux qui n'ont pas réagi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Sylvain L. Sauvage
Le #26133972
’jour,

Le mardi 13 mai 2014, 23:30:35 Daniel Huhardeaux a écrit :
[…]
Par exemple, ceux ayant créé les certificats sous Squeeze n e
sont pas concernés.



Quand, où ou comment les certificats ont été créà ©s n’a aucune
importance. Ce sont les serveurs utilisant les versions citées
d’openssl qui sont susceptibles.

La meilleure explication qui soit d’heartbleed :
http://xkcd.com/1354/

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Vincent Lefevre
Le #26136142
On 2014-05-13 23:19:04 +0200, Alain Vaugham wrote:
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.



Le principal problème est que, sous Debian, il semble que seul
Iceweasel vérifie correctement la révocation des certificats, et
encore, pas par défaut. Il faut vérifier que dans les préférences
Advanced → Certificates → Validation, les 2 options sont cochées,
i.e. dans about:config,

security.OCSP.enabled = 1
security.OCSP.require = true

Sans ça (pour l'utilisateur), la regénération d'un certificat ne
sert à rien.

Cf http://crt.rschulz.eu/ pour infos supplémentaires.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Publicité
Poster une réponse
Anonyme