Antichesse (o ^ω^ o)
En quatre étapes :
1) Récupérer le certificat au format TXT
openssl s_client -connect mon-domaine:443 > mon-certif.pem2) Nettoyer le fichier TXT pour ne garder que ce qu'il y a entre les sections BEGIN CERTIFICATE et END CERTIFICATE inclus, par exemple :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----3) Dire à git d'aller chercher ce certificat
git config --global http.sslCAInfo /mon/chemin/vers/mon/certif.pem4) S'assurer que la vérification SSL/TLS n'est pas désactivée dans Git
git config --global http.sslVerify true
Un peu de Docker pour mettre en place un Nginx servant du HTTP sur SSL. Très bon article.
QuoVadis est une autorité de certification SSL de la société DarkMatter contrôlée par les Emiras Arabes Unis. Celle-ci s'est faite épinglée par l'EFF (Electronic Frontier Foundation) pour déchiffrer le trafic SSL et aider les gouvernements arabes à surveiller ses citoyens / fidèles (a fortiori dans l'optique de les aider à ne pas se détourner de "leur foi").
Bref, pour votre vie privée et éviter que vos passes / comptes bancaires / autres ne se fassent intercepter, suivez cette manipulation dans Firefox.
Comment créer des certificats SSL/TLS valides pour un réseau local ou d'entreprise ? L'outil mkcert va produire cette chaîne de certification interne pour vous.
NGiИX configuration generator: HTTPS, HTTP2, CDN, PHP, HHVM, Frontend, Reverse proxy, Node.js, WordPress, Drupal, security headers, rate limiting, expiration by file types…
Via une river
Pour Animal
Installer un certificate Let's Encrypt sous Debian avec Certbot.
Le tuto est clair, simple et efficace. A Ansible-isé.
Un tuto en français montrant comment configurer un couche SSL sur nginx.
Comment sécuriser son serveur avec SSL et TLS (surtout TLS 1.2)
Je résume ici : vous travaillez pour un grand groupe (aller au hasard une grosse banque) et vous devez utiliser yarn (un remake de npm mieux foutou). Jusque là aucun soucis sauf que le proxy de la grosse banque fait du man-in-the-middle aux yeux et à la vue de tout le monde. Donc yarn quand il veut choper des trucs pas forcément utiles en SSL (genre phantomjs, le bouzin qui fait juste tourner NOS TESTS UNITAIRES) bah il veut pas le p'tit chaton parce qu'il se rend bien compte que les mecs du proxy : ils font du man-in-the-middle comme des gros porcs.
Bref, voici comme détruire toute forme de sécurité dans yarn mais qui vous permettra (a minima momentanément) de récupérer des tools genre phantomjs :
yarn config set "strict-ssl" falseet pour restaurer la sécurité ce sera évidemment :
yarn config set "strict-ssl" trueCi-dessous un extract de mon fichier VHost
Pour définir son nom de commiter :
git config --global user.name "Anti CHESSE"
git config --global user.email "antichesse@cakeozolives.com"Pour que Git ignore les certificats auto-signés (cela créé une faille de sécurité) :
git config --global http.sslVerify falsePour que Git affiche correctement les accents dans la console :
git config --global core.quotepath off
git config --global i18n.logoutputencoding utf8
git config --global i18n.commitencoding utf8
git config --global --unset svn.pathnameencodingPour que Git ignore enfin les changements de droits dans les systèmes de fichiers Linux / Windows:
git config --global core.fileMode falseN.B : si la dernière astuce ne marche pas, penser à supprimer la ligne fileMode = true dans votre fichier .git/config
Gérer les problèmes de finger print SSL (certificats auto-signés) avec Mercurial
Donc pour résumer :
1) Récupérer le fichier .crt du site (Icône du site > Plus d'informations > Onglet Sécurité > Afficher le Certificat > Exporter)
2) Le mettre quelque part, chez moi c'est ~/.hg/el-toreador.crt
3) Créer un fichier ~/.hgrc
4) Copier le contenu suivant (en l'adaptant) :
[hostfingerprints]
el-toreador = 1E:B0:EE:88:F9:AA:F9:97:AF:44:04:0F:FA:2B:42:07:95:C9:FE:2C
[web]
cacerts = ~/.hg/el-toreador.crt5) La fingerprint du certificat se trouve dans la fenêtre Afficher le Certificat, il s'agit de "l'empreinte numérique SHA1".
Procotols de sécurité TLS, SSL, RSA et AES
Soyons clairs : LE SSLV3 est une pure saloperie bardée de failles de sécurités en tout genre. Il faut utiliser SSLV2 à la place. Mozilla l'a dont désactivé par défaut pour protéger ses utilisateurs d'un protocole qui donne l'impression d'avoir été défini par la NSA en personne. Cependant, comme la plupart des grands comptes mettront encore des mois à se mettre à jour, je vous file une astuce pour continuer d'accéder à leur site avec votre Firefox.
Vérifier la sécurité de votre navigateur sur ses implémentations de SSL, TLS & Co