Mise à jour des certificats

[StinGer]

Pour des raisons diverses et avariées, j'ai regénéré la totalité des certificats utilisés un peu partout (sites internet et Jabber principalement). Par exemple, votre navigateur devrait vous insulter si vous essayer de vous connecter au forum en https.

Avant d'installer le nouveau certificat racine (et ainsi éviter d'avoir des message d'erreurs et d'avertissements dans tous les sens), vous devez supprimer tous les certificats liés au forum. À savoir l'ancien certificat racine (Rhéa Consulting, ns00.rhea-consulting.fr) et le certificat du forum si vous l'aviez ajouter. La procédure dépend de votre navigateur.

• Chrome - Voir le lien plus haut.
• Firefox - Il faut aussi regarder dans "Autorités".
  
• Internet Explorer - Seriously ?

Ensuite, pour que votre navigateur ne génère pas 300 erreurs et avertissements, vous pouvez installer le nouveau certificat racine disponible ici. Et préciser, si cela vous est demandé, que ce certificat peut authentifier des sites internet.


Détails du pourquoi et du comment
Les anciens certificats générés utilisaient des signatures md5. Quézaco ?  ???
En gros, les certificats sont distingués de manière unique par des empreintes numériques. Un peu comme les empreintes digitales. Il existe plusieurs algorithmes d'empreinte, notamment md5.

Bien que md5 constitue une emprunte valide, des développeurs ont montré qu'il était possible de provoqué des collisions d'empreintes. C'est-à-dire disposer de deux certificats différents mais qui génèrent la même empreinte. Dans les faits, cela demeure extrêmement rare et ne suffit pas à compromettre la sécurité d'un site qui utilise un tel certificat. Mais c'est une étape.

Pour cette raison, certaines bibliothèques de gestion des certificats ont décidé de rejeter les certificats qui utilisent des empreintes md5. Firefox par exemple repose sur une telle bibliothèque.

Pour éviter de devoir ajouter 321487237 certificats, en fait souvent le même mais sur des adresses différentes, j'ai regénéré tous les certificats avec des empreintes sha1 (un autre algorithme).
En ajoutant le certificat racine, la chaîne de validation fonctionne ainsi comme entendu et je peux jouer avec les certificats comme j'en ai besoin sans que cela ne vous dérange.

[Thercule]

Certificats ? Graduated ?

[Lor Kran]

Certificats ? Graduated ?

GET

OUT

OF

HERE

[GhostOfShishko]

Tu penses vraiment que les gens en ont quelquechose a foutre de savoir si c'est du MD5 ou du SHA1?

[Volraich]

j'en ai rien à foutre par exemple

[Lor Kran]

Bah, moi je trouve ça bien de savoir pourquoi mon navigateur m'insultait quand je passait de la KB au forum (redir en https).

Beaucoup s'en contrefiche mais c'est bien d'avoir cette transparence à chaque modification du fonctionnement global du site.

[Volraich]

le lèche cul !!!!

[Dosei]

C'est bien en passant au sha-1, au lieu d'avoir 15 ans de retard on en a plus que 10 \o/.

[StinGer]

Entre ce qui gère pas les vieux hash, et ce qui gère pas les nouveaux... c'est le casse-tête permanent.

Et de toutes façons sur le fond, tu pourras toujours parvenir à provoquer des collisions de hash. La question n'est pas "est-ce possible ?", mais "combien de temps ça prendrait avec X ressources ?".

[Panterhead]

[Thercule]

Hash par ici, Hash par là...

It's very... Hash-ish...

[Lor Kran]

Hash par ici, Hash par là...

It's very... Hash-ish...

Qu'il meurt dans d’atroces souffrances

[Begrezen]

Moi je m'en branle btw

[Krogort]

Depuis un moment y'a une putain d'alerte très très très très très très  casse burne a chaque fois que j'ouvre ce forum a la con.
Et j'ai pas de DigiNotar Root CA de mes couille a dégager.

Attackers might be trying to steal your information from forums.pragmatic-kernel.fr (for example, passwords, messages or credit cards). NET::ERR_CERT_AUTHORITY_INVALID
Subject: *.pragmatic-kernel.fr
Issuer: Rhéa Consulting
Expires on: 7 Sep 2017
Current date: 17 May 2015
PEM encoded chain: -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

[Lor Kran]

T'as un PC en mousse c'est pour ça.