OpenSSL / Heartbeat : mises à jour
Le
Alain Vaugham
Bonsoir la liste,
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas,=
ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?
Merci par avance.
> Date: Mon, 07 Apr 2014 21:36:46 +0000
> De: Salvatore Bonaccorso <carnil@debian.org>
> À: debian-security-announce@lists.debian.org
> Sujet: [SECURITY] [DSA 2896-1] openssl security update
Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constaté aujourd'hui : ceux qui ont réagi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=4
Constaté aujourd'hui : ceux qui n'ont pas réagi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/
--
Alain Vaugham
Clef GPG : 0xDB77E054673ECFD2
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140513231904.6b2f24a3@mach07.localdomain
J'avais cru comprendre qu'il fallait refaire rapidement ses certificats.
Pourtant, aujourd'hui, certains sites en https n'ont pas réagi.
Est-ce que cela veut dire qu'il n'y a que certains OpenSSL - dont celui
de Debian - qui sont concernés, celui d'autres OS ne l'étant pas,=
ou
est-ce que c'est moi qui n'ai pas bien compris l'alerte sur
debian-security-announce?
Merci par avance.
> Date: Mon, 07 Apr 2014 21:36:46 +0000
> De: Salvatore Bonaccorso <carnil@debian.org>
> À: debian-security-announce@lists.debian.org
> Sujet: [SECURITY] [DSA 2896-1] openssl security update
Le 08/04/2014, l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
Constaté aujourd'hui : ceux qui ont réagi :
08/04/2014 : https://webmail.gandi.net/
15/04/2014 : https://www.paypal.com/fr/webapps/mpp/home
16/04/2014 : https://entreprises.ca-paris.fr/
28/04/2014 : https://www.cacert.org/index.php?id=4
Constaté aujourd'hui : ceux qui n'ont pas réagi :
24/03/2013 : https://www.verisign.fr/ts-sem-page/
18/04/2013 : https://entreprises.societegenerale.fr/
02/05/2013 : https://ssl0.ovh.net/fr/
04/07/2013 : https://www.sfr.fr/accueil/
31/10/2013 : https://informations.lcl.fr/securite/
17/12/2013 : https://www.secure.bnpparibas.net/
--
Alain Vaugham
Clef GPG : 0xDB77E054673ECFD2
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140513231904.6b2f24a3@mach07.localdomain
Oui seuls les oepnssl de 1.0.0 à 1.0.1f sont concernés (sauf là aussi
ceux où le correctif a été backporté, comme celui qui a été mis à jour
dans Debian Stable)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Bonsoir
Ne sont concernés que les versions OpenSSL >= 1.0 et < 1.0.1g
Par exemple, ceux ayant créé les certificats sous Squeeze ne sont pas
concernés.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le mardi 13 mai 2014, 23:30:35 Daniel Huhardeaux a écrit :
Quand, où ou comment les certificats ont été créà ©s nâa aucune
importance. Ce sont les serveurs utilisant les versions citées
dâopenssl qui sont susceptibles.
La meilleure explication qui soit dâheartbleed :
http://xkcd.com/1354/
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le principal problème est que, sous Debian, il semble que seul
Iceweasel vérifie correctement la révocation des certificats, et
encore, pas par défaut. Il faut vérifier que dans les préférences
Advanced → Certificates → Validation, les 2 options sont cochées,
i.e. dans about:config,
security.OCSP.enabled = 1
security.OCSP.require = true
Sans ça (pour l'utilisateur), la regénération d'un certificat ne
sert à rien.
Cf http://crt.rschulz.eu/ pour infos supplémentaires.
--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/