This page performs a live, annotated https: request for its own source. It’s inspired by The Illustrated TLS 1.3 Connection and Julia Evans’ toy TLS 1.3.
Un site pour tester les erreurs et vulnérabilités TLS/SSL (certificats, échanges de clefs, algorithmes de chiffrement, ...)
Décorticage en détails de l'établissement d'une session TLS 1.3
Idem pour TLS 1.2 https://tls.ulfheim.net/
(trouvé ici http://shaarli.guiguishow.info/?8ZlhyA )
Description du problème, et solution pour Debian, pour les sites qui ne valident pas la nouvelle chaîne de certification Let's Encrypt, comme le repository x2go
Err :28 https://packages.x2go.org/debian buster Release
Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. Could not handshake: Erreur de vérification du certificat. [IP : 2a01:4f8:202:1381::107 443]Le certificat Let's Encrypt R3 se trouve ici: https://letsencrypt.org/certificates/
État des vulnérabilités SSL/TLS
Generating Certificates
Generate RSA Private Key + CSR
openssl req -out newkey.csr -new -newkey rsa:[bits] -nodes -keyout priv.key
Generate Self Signed Certificate + Priv Key
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:[bits] -keyout priv.key -out cert.crt
Generate CSR for existing Cert
openssl x509 -x509toreq -in cert.crt -out newreq.csr -signkey priv.key
La vidéo de ma conférence « Infrastructures à clés publiques » du 33e Caen-Camp est en ligne :
https://www.youtube.com/watch?v=9zNAUFtw7Ac
Les slides sont également en ligne et permettent de cliquer sur plein de coma-links :
https://romain.blogreen.org/files/2017-10-31-pki.pdf
Observatory by Mozilla is a project designed to help developers, system administrators, and security professionals configure their sites safely and securely.
Ça et SSLlabs
plein de papiers 'achment intéressants, sécu, crypto, vulns
mitm AV voir The Security Impact of HTTPS Interception
Un changement de numéro de version, même mineur, est rarement anodin lorsqu'il s'agit d'un protocole de sécurité. Alors qu'une importante partie de (...)
The Security Impact of HTTPS Interception
Explains how to find out that the processor (cpu) has the Intel AES instruction set enabled and verify it with openssl/ssh commands on Linux.
SSLsplit is a tool for man-in-the-middle attacks against SSL/TLS encrypted network connections.
Debian: apt-get install sslsplit
tutorial https://blog.heckel.xyz/2013/08/04/use-sslsplit-to-transparently-sniff-tls-ssl-connections/
C’est une nouvelle vulnérabilité touchant le protocole TLS qui vient de faire son apparition. Baptisée LogJam, elle touche les connexions chiffrées via l’algorithme Diffie-Hellman.
source en anglais
The Logjam attack https://weakdh.org/
Guide to Deploying Diffie-Hellman for TLS https://weakdh.org/sysadmin.html (recommendations pour serveurs)
Increasing the minimum TLS DH group size to 1024 bits https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/WyGIpevBV1s
The EVP functions provide a high level interface to OpenSSL cryptographic functions.
Different performance of openssl speed on the same hardware with AES 256 (EVP and non EVP API)
https://security.stackexchange.com/questions/35036/different-performance-of-openssl-speed-on-the-same-hardware-with-aes-256-evp-an