HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
5 réponses
Mathieu Chappuis
Bonsoir,
Toujours =E0 propos de :
http://www.debian.org/security/2008/dsa-1571
"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"
J'insiste, mais il n'y a pas que la partie SSH qui est touch=E9e..
Si comme moi vous avez g=E9n=E9r=E9 des demandes de certificats SSL =E0 par=
tir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une reg=E9n=E9ration compl=E8te de vos certificats =E0 votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..
# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
Le package n'est pas propos=E9 dans testing : voil=E0 un lien
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean Baptiste FAVRE
Bonsoir, Pour être vraiment complet (!), HTTPS n'est pas le seul protocole concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS, SMTPS, ...)
En ce qui conerne les impôts, le mieux est de leur poser la question. Je ne sais pas personnellement ce qu'ils utilisent pour générer leurs certificats (mais je pencherais pour un dispositif matériel vu la quantité de certificats gérés)
Mes 2 cents, JB
antoine de hillerin a écrit :
D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????
Merci d avance!
AH
Le 15 mai 2008 22:14, Mathieu Chappuis <mailto: a écrit :
Bonsoir,
Toujours à propos de :
http://www.debian.org/security/2008/dsa-1571
" Luciano Bello discovered that the random number generator in Debian's openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a result, cryptographic key material may be guessable "
J'insiste, mais il n'y a pas que la partie SSH qui est touchée..
Si comme moi vous avez généré des demandes de certificats SSL à partir d'une version compromise d'open-ssl (debian) vous pouvez vite demander une regénération complète de vos certificats à votre prestataire, quand c'est possible, car vos .key ne valent pas clopette..
# openssl-vulnkey monsite.key Enter pass phrase for monsite.key: Enter pass phrase for monsite.key: COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
Le package n'est pas proposé dans testing : voilà un lien
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to <mailto: with a subject of "unsubscribe". Trouble? Contact <mailto:
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonsoir,
Pour être vraiment complet (!), HTTPS n'est pas le seul protocole
concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS,
SMTPS, ...)
En ce qui conerne les impôts, le mieux est de leur poser la question. Je
ne sais pas personnellement ce qu'ils utilisent pour générer leurs
certificats (mais je pencherais pour un dispositif matériel vu la
quantité de certificats gérés)
Mes 2 cents,
JB
antoine de hillerin a écrit :
D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????
Merci d avance!
AH
Le 15 mai 2008 22:14, Mathieu Chappuis <mathieu.chappuis.lists@gmail.com
<mailto:mathieu.chappuis.lists@gmail.com>> a écrit :
Bonsoir,
Toujours à propos de :
http://www.debian.org/security/2008/dsa-1571
"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"
J'insiste, mais il n'y a pas que la partie SSH qui est touchée..
Si comme moi vous avez généré des demandes de certificats SSL à partir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une regénération complète de vos certificats à votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..
# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
Le package n'est pas proposé dans testing : voilà un lien
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
<mailto:debian-user-french-REQUEST@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonsoir, Pour être vraiment complet (!), HTTPS n'est pas le seul protocole concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS, SMTPS, ...)
En ce qui conerne les impôts, le mieux est de leur poser la question. Je ne sais pas personnellement ce qu'ils utilisent pour générer leurs certificats (mais je pencherais pour un dispositif matériel vu la quantité de certificats gérés)
Mes 2 cents, JB
antoine de hillerin a écrit :
D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????
Merci d avance!
AH
Le 15 mai 2008 22:14, Mathieu Chappuis <mailto: a écrit :
Bonsoir,
Toujours à propos de :
http://www.debian.org/security/2008/dsa-1571
" Luciano Bello discovered that the random number generator in Debian's openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a result, cryptographic key material may be guessable "
J'insiste, mais il n'y a pas que la partie SSH qui est touchée..
Si comme moi vous avez généré des demandes de certificats SSL à partir d'une version compromise d'open-ssl (debian) vous pouvez vite demander une regénération complète de vos certificats à votre prestataire, quand c'est possible, car vos .key ne valent pas clopette..
# openssl-vulnkey monsite.key Enter pass phrase for monsite.key: Enter pass phrase for monsite.key: COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
Le package n'est pas proposé dans testing : voilà un lien
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to <mailto: with a subject of "unsubscribe". Trouble? Contact <mailto:
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage
Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes excuses.
Re,
Sylvain Sauvage a écrit :
> Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> Bonsoir,
> > ’jour, >
>> Pour être vraiment complet (!), HTTPS n'est pas le seul >> protocole concerné. Dès que vous utilisez TLS ou SSL, vous >> êtes concernés (FTPS, SMTPS, ...)
> > Rappelons que, pour ces protocoles, le problème ne se pose que > pour les _serveurs_ (se sont eux qui génèrent le certificat). > Donc si vous avez un .pem pour un de ses services : regénérer > (cf. tous les liens déjà donnés : des instructions sont données > pour chaque programme). >
Pas d'accord: les certificats clients sont également impactés à partir du moment où ils ont été générés sur un serveur avec une mauvaise version d'OpenSSL (cf. les impôts ci-dessous).
En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez toutes vos clefs et certificats et vous dormirez tranquilles :-) Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à gérer et 5 certificats. J'imagine que des structures plus importantes vont peut-être chercher à optimiser la chose, mais pour information: les tentatives de connexions sur le port 22 de mon serveur ont explosée depuis 2 jours. Je reste serein puisqu'il est protégé par du port-knocking mais tout le monde n'est pas dans mon cas ;-)
>> En ce qui conerne les impôts, le mieux est de leur poser la >> question. Je ne sais pas personnellement ce qu'ils utilisent >> pour générer leurs certificats (mais je pencherais pour un >> dispositif matériel vu la quantité de certificats gérés)
> > Autrement dit : le certificat est généré par les Impôts, donc > le fait que vous ayez utilisé ce certificat sur une Debian ne > devrait poser aucun problème. (Il ne pourrait y avoir de > problème que si les Impôts ont utilisé une Debian touchée pour > ce faire, ce qui est fort peu probable.) >
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux. Si vous avez généré votre certificate request sous Debian ou si leur CA l'a été, vous avez gagné !
Bon week-end, JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes
excuses.
Re,
Sylvain Sauvage a écrit :
> Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> Bonsoir,
>
> ’jour,
>
>> Pour être vraiment complet (!), HTTPS n'est pas le seul
>> protocole concerné. Dès que vous utilisez TLS ou SSL, vous
>> êtes concernés (FTPS, SMTPS, ...)
>
> Rappelons que, pour ces protocoles, le problème ne se pose que
> pour les _serveurs_ (se sont eux qui génèrent le certificat).
> Donc si vous avez un .pem pour un de ses services : regénérer
> (cf. tous les liens déjà donnés : des instructions sont données
> pour chaque programme).
>
Pas d'accord: les certificats clients sont également impactés à partir
du moment où ils ont été générés sur un serveur avec une mauvaise
version d'OpenSSL (cf. les impôts ci-dessous).
En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez
toutes vos clefs et certificats et vous dormirez tranquilles :-)
Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à
gérer et 5 certificats. J'imagine que des structures plus importantes
vont peut-être chercher à optimiser la chose, mais pour information: les
tentatives de connexions sur le port 22 de mon serveur ont explosée
depuis 2 jours. Je reste serein puisqu'il est protégé par du
port-knocking mais tout le monde n'est pas dans mon cas ;-)
>> En ce qui conerne les impôts, le mieux est de leur poser la
>> question. Je ne sais pas personnellement ce qu'ils utilisent
>> pour générer leurs certificats (mais je pencherais pour un
>> dispositif matériel vu la quantité de certificats gérés)
>
> Autrement dit : le certificat est généré par les Impôts, donc
> le fait que vous ayez utilisé ce certificat sur une Debian ne
> devrait poser aucun problème. (Il ne pourrait y avoir de
> problème que si les Impôts ont utilisé une Debian touchée pour
> ce faire, ce qui est fort peu probable.)
>
Plus généralement, si votre certificat est signé par une CA "officielle"
(Verisign and co), le mieux est de prendre contact avec eux.
Si vous avez généré votre certificate request sous Debian ou si leur CA
l'a été, vous avez gagné !
Bon week-end,
JB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes excuses.
Re,
Sylvain Sauvage a écrit :
> Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> Bonsoir,
> > ’jour, >
>> Pour être vraiment complet (!), HTTPS n'est pas le seul >> protocole concerné. Dès que vous utilisez TLS ou SSL, vous >> êtes concernés (FTPS, SMTPS, ...)
> > Rappelons que, pour ces protocoles, le problème ne se pose que > pour les _serveurs_ (se sont eux qui génèrent le certificat). > Donc si vous avez un .pem pour un de ses services : regénérer > (cf. tous les liens déjà donnés : des instructions sont données > pour chaque programme). >
Pas d'accord: les certificats clients sont également impactés à partir du moment où ils ont été générés sur un serveur avec une mauvaise version d'OpenSSL (cf. les impôts ci-dessous).
En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez toutes vos clefs et certificats et vous dormirez tranquilles :-) Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à gérer et 5 certificats. J'imagine que des structures plus importantes vont peut-être chercher à optimiser la chose, mais pour information: les tentatives de connexions sur le port 22 de mon serveur ont explosée depuis 2 jours. Je reste serein puisqu'il est protégé par du port-knocking mais tout le monde n'est pas dans mon cas ;-)
>> En ce qui conerne les impôts, le mieux est de leur poser la >> question. Je ne sais pas personnellement ce qu'ils utilisent >> pour générer leurs certificats (mais je pencherais pour un >> dispositif matériel vu la quantité de certificats gérés)
> > Autrement dit : le certificat est généré par les Impôts, donc > le fait que vous ayez utilisé ce certificat sur une Debian ne > devrait poser aucun problème. (Il ne pourrait y avoir de > problème que si les Impôts ont utilisé une Debian touchée pour > ce faire, ce qui est fort peu probable.) >
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux. Si vous avez généré votre certificate request sous Debian ou si leur CA l'a été, vous avez gagné !
Bon week-end, JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Fri, May 16, 2008 at 07:02:26PM +0200, Jean Baptiste FAVRE wrote a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle gratuitement les clés des pauvres utilisateurs Debian (il parait que Thawte le fait aussi).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Fri, May 16, 2008 at 07:02:26PM +0200,
Jean Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr> wrote
a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA
"officielle" (Verisign and co), le mieux est de prendre contact avec
eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign
est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle
gratuitement les clés des pauvres utilisateurs Debian (il parait que
Thawte le fait aussi).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Fri, May 16, 2008 at 07:02:26PM +0200, Jean Baptiste FAVRE wrote a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle gratuitement les clés des pauvres utilisateurs Debian (il parait que Thawte le fait aussi).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
J'entendais par "officielle" (notez les guillemets) une AC déjà intégérée das les principaux navigateurs.
Désolé pour mon approximation ;-) JB
Stephane Bortzmeyer a écrit :
On Fri, May 16, 2008 at 07:02:26PM +0200, Jean Baptiste FAVRE wrote a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle gratuitement les clés des pauvres utilisateurs Debian (il parait que Thawte le fait aussi).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
J'entendais par "officielle" (notez les guillemets) une AC déjà
intégérée das les principaux navigateurs.
Désolé pour mon approximation ;-)
JB
Stephane Bortzmeyer a écrit :
On Fri, May 16, 2008 at 07:02:26PM +0200,
Jean Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr> wrote
a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA
"officielle" (Verisign and co), le mieux est de prendre contact avec
eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign
est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle
gratuitement les clés des pauvres utilisateurs Debian (il parait que
Thawte le fait aussi).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'entendais par "officielle" (notez les guillemets) une AC déjà intégérée das les principaux navigateurs.
Désolé pour mon approximation ;-) JB
Stephane Bortzmeyer a écrit :
On Fri, May 16, 2008 at 07:02:26PM +0200, Jean Baptiste FAVRE wrote a message of 61 lines which said:
Plus généralement, si votre certificat est signé par une CA "officielle" (Verisign and co), le mieux est de prendre contact avec eux.
Précisons que la notion de CA officielle ne veut rien dire. Verisign est plus cher mais n'a rien de plus officiel.
Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle gratuitement les clés des pauvres utilisateurs Debian (il parait que Thawte le fait aussi).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
