J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas r=C3=A9agi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concern=C3=A9s, celui d'autres OS ne l'=C3=A9tant pas,=
ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?
Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constat=C3=A9 aujourd'hui : ceux qui ont r=C3=A9agi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=3D4
Constat=C3=A9 aujourd'hui : ceux qui n'ont pas r=C3=A9agi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/=20
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/
--=20
Alain Vaugham
Clef GPG : 0xDB77E054673ECFD2
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140513231904.6b2f24a3@mach07.localdomain
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Erwan David
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou est-ce que c'est moi qui n'ai pas bien compris l'alerte sur debian-security-announce?
Merci par avance.
Oui seuls les oepnssl de 1.0.0 à 1.0.1f sont concernés (sauf là aussi ceux où le correctif a été backporté, comme celui qui a été mis à jour dans Debian Stable)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?
Merci par avance.
Oui seuls les oepnssl de 1.0.0 à 1.0.1f sont concernés (sauf là aussi
ceux où le correctif a été backporté, comme celui qui a été mis à jour
dans Debian Stable)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53728E67.2050001@rail.eu.org
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou est-ce que c'est moi qui n'ai pas bien compris l'alerte sur debian-security-announce?
Merci par avance.
Oui seuls les oepnssl de 1.0.0 à 1.0.1f sont concernés (sauf là aussi ceux où le correctif a été backporté, comme celui qui a été mis à jour dans Debian Stable)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Daniel Huhardeaux
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,
Bonsoir
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou est-ce que c'est moi qui n'ai pas bien compris l'alerte sur debian-security-announce?
Ne sont concernés que les versions OpenSSL >= 1.0 et < 1.0.1g
Par exemple, ceux ayant créé les certificats sous Squeeze ne sont pas concernés.
Le 08/04/2014, l'ANSSI : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constaté aujourd'hui : ceux qui ont réagi : 08/04/2014 : https://webmail.gandi.net/ 15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home 16/04/2014 : https://entreprises.ca-paris.fr/ 28/04/2014 : https://www.cacert.org/index.php?id=4
Constaté aujourd'hui : ceux qui n'ont pas réagi : 24/03/2013 : https://www.verisign.fr/ts-sem-page/ 18/04/2013 : https://entreprises.societegenerale.fr/ 02/05/2013 : https://ssl0.ovh.net/fr/ 04/07/2013 : https://www.sfr.fr/accueil/ 31/10/2013 : https://informations.lcl.fr/securite/ 17/12/2013 : https://www.secure.bnpparibas.net/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 13/05/2014 23:19, Alain Vaugham a écrit :
Bonsoir la liste,
Bonsoir
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?
Ne sont concernés que les versions OpenSSL >= 1.0 et < 1.0.1g
Par exemple, ceux ayant créé les certificats sous Squeeze ne sont pas
concernés.
Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constaté aujourd'hui : ceux qui ont réagi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=4
Constaté aujourd'hui : ceux qui n'ont pas réagi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53728EFB.20402@tootai.net
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui de Debian - qui sont concernés, celui d'autres OS ne l'étant pas, ou est-ce que c'est moi qui n'ai pas bien compris l'alerte sur debian-security-announce?
Ne sont concernés que les versions OpenSSL >= 1.0 et < 1.0.1g
Par exemple, ceux ayant créé les certificats sous Squeeze ne sont pas concernés.
Le 08/04/2014, l'ANSSI : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constaté aujourd'hui : ceux qui ont réagi : 08/04/2014 : https://webmail.gandi.net/ 15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home 16/04/2014 : https://entreprises.ca-paris.fr/ 28/04/2014 : https://www.cacert.org/index.php?id=4
Constaté aujourd'hui : ceux qui n'ont pas réagi : 24/03/2013 : https://www.verisign.fr/ts-sem-page/ 18/04/2013 : https://entreprises.societegenerale.fr/ 02/05/2013 : https://ssl0.ovh.net/fr/ 04/07/2013 : https://www.sfr.fr/accueil/ 31/10/2013 : https://informations.lcl.fr/securite/ 17/12/2013 : https://www.secure.bnpparibas.net/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
La meilleure explication qui soit dâheartbleed :
http://xkcd.com/1354/
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1715929.KZ3R4rbPOT@earendil
La meilleure explication qui soit dâheartbleed : http://xkcd.com/1354/
-- Sylvain Sauvage
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Vincent Lefevre
On 2014-05-13 23:19:04 +0200, Alain Vaugham wrote:
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Le principal problème est que, sous Debian, il semble que seul Iceweasel vérifie correctement la révocation des certificats, et encore, pas par défaut. Il faut vérifier que dans les préférences Advanced → Certificates → Validation, les 2 options sont cochées, i.e. dans about:config,
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On 2014-05-13 23:19:04 +0200, Alain Vaugham wrote:
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Le principal problème est que, sous Debian, il semble que seul
Iceweasel vérifie correctement la révocation des certificats, et
encore, pas par défaut. Il faut vérifier que dans les préférences
Advanced → Certificates → Validation, les 2 options sont cochées,
i.e. dans about:config,
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140515102019.GA31416@ypig.lip.ens-lyon.fr
On 2014-05-13 23:19:04 +0200, Alain Vaugham wrote:
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats. Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Le principal problème est que, sous Debian, il semble que seul Iceweasel vérifie correctement la révocation des certificats, et encore, pas par défaut. Il faut vérifier que dans les préférences Advanced → Certificates → Validation, les 2 options sont cochées, i.e. dans about:config,
