Herbesfolles est passé à des certificats letsencrypt aussi bien pour les sites que pour les mails et le reste.
Nous avions l’habitude de publier ici les empreintes du certificat d’herbesfolles, signées par notre clé OpenPGP, mais nous ne le faisons plus. Si vous en souhaitez le retour, envoyez-nous un email.
Depuis samedi 13 avril 2019, Herbesfolles a changé de machine ! Nous espérons qu’elle sera aussi fiable que les deux précédentes qui ne nous ont jamais fait lâchés mais qui, l’une après l’autre, peinaient à répondre aux besoins grandissants des sites et services hébergés. La nouvelle est bien plus rapide, et devrait nous permettre de proposer plus de services. Si vous avez des idées et envies, dîtes-le nous : admins_at_herbesfolles.org
Le chantier sur herbesfolles est terminé depuis deux petites semaines, et voici un petit bilan :
Si vous rencontrez des soucis, envoyez-nous un message : admins@herbesfolles.org [*] Nous avons reçu quelques messages pour le prix libre, merci ! Et à une prochaine ! Les herbesfolles [*] Si vous utilisez du chiffrement, la clef publique d'admins@herbesfolles.org est disponible ici : https://docs.herbesfolles.org/herbesfolles.org-0xE6016846-pub.asc et voici son empreinte : 5784 AD27 9E32 98D7 B2D6 9E77 819F 7320 E601 6846
Nous avons travaillé d’arrache-pied depuis lundi pour mettre à jour herbesfolles et installer automatiquement des nouveaux certificats de chiffrement pour les sites.
D’ici quelques semaines tous les sites hébergés par herbesfolles auront des certificats signés par https://letsencrypt.org/. Ils ont l’avantage pratique d’être considérés comme fiables par la plupart des navigateurs.
Par ailleurs, nous avons encore des problèmes à régler avec les listes de diffusion : certaines listes ne fonctionnent plus et pour toutes l’interface web d’administration est cassée. Nous espérons résoudre ça rapidement et nous vous tiendrons au courant.
Herbesfolles est en chantier du 15 au 17 mai 2017, voire davantage si nécessaire. Pendant cette période attends-toi à ce que les services de herbesfolles soient interrompus pendant quelques minutes ou quelques heures…
… mais à la fin la machine aura de nouvelles versions des logiciels, et, espérons-le des services qui fonctionnent (encore) mieux !
Herbesfolles est maintenant passé à Let’s Encrypt pour tous ses services. Les empreintes sont publiées ici : https://www.herbesfolles.org/lets-encrypt-herbesfolles/ Nous venons de renouveler notre certificat TLS. Ses empreintes (signées par notre clé OpenPGP) sont disponibles dans notre documentation sur les certificats. Comme le précédent, il est signé par notre propre autorité. On espère que le prochain sera signé par let’s encrypt !
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Empreintes du certificat d'herbesfolles.org valable du 21 avril 2017
au 21 avril 2017
Fingerprints of herbesfolles.org certificates from april 21, 2017 to
april 21, 2018
SHA1 Fingerprint:
5C:26:B6:DB:BF:87:42:17:37:3A:E0:0B:AB:2D:0E:4E:25:7E:4F:54
SHA256 Fingerprint:
12:AF:86:58:33:BC:1F:94:24:F1:DE:09:8A:E6:7D:FF:
EA:9E:26:CF:6D:EA:17:3A:A1:06:EB:E5:24:9A:99:BD
-----BEGIN PGP SIGNATURE-----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=TG49
-----END PGP SIGNATURE-----
Salut à toutes, tous et aux autres,
Quelques travaux vont avoir lieu sur le serveur de herbesfolles ce lundi 28 novembre. Cela va entraîner une coupure des services. Si tout se passe bien, ça devrait permettre aux services existants de fonctionner mieux, et d’en ajouter de nouveaux
Même si ce n’est pas une urgence, nous profitons de ce message pour rappeler qu’il est toujours possible de nous donner de l’argent (nécessaire pour le fonctionnement du serveur). Pour cela, le plus simple reste encore de le faire en nous voyant physiquement. Il est aussi possible de faire un don via le financement du nom de domaine de herbesfolles.org en vous rendant ici : https://www.gandi.net/whois/details?search=herbesfolles.org (mais gardez à l’esprit qu’avoir le nom de domaine payé pour les dix années à venir ne nous aidera pas beaucoup à payer les factures qui tombent tous les mois …)
Si tu utilises Icedove/Thunderbird pour lire et écrire tes messages, tu risques d’expérimenter ceci avec la mise à jour du certificats : * Le logiciel se connecte à mail.herbesfolles.org pour récupérer les messages, puis, sans rien dire, ne fait rien. * Si tu essaies d’envoyer un message, il se plaint d’une mauvaise configuration du SMTP. (Avec Iceweasel/Firefox, tu peux te retrouver face un message d’erreur qui t’interdit d’aller plus loin.) Il est possible de trouver une solution du côté de Icedove/Thunderbird (et Iceweasel/Firefox), qui a ce comportement si auparavant tu as fait une “exception de sécurité” pour le certificat de herbesfolles.org Voici les étapes pour résoudre ce problème dans Icedove/Thunderbird (et aussi dans Iceweasel/Firefox) :
Nous venons de renouveler notre certificat TLS Ses empreintes (signées par notre clé OpenPGP) sont disponibles dans notre documentation sur les certificats. Comme le précédent, il est signé par notre propre autorité.
Salut à tou-te-s, C’est avec plaisir que l’on vous annonce que les travaux sont finis (pour cette fois). Nous avons, entre autres choses, mis à jour le logiciel qui nous - et vous - sert à gérer le serveur : https://alternc.com/ et le webmail qui permet de consulter ses mails via une interface web : https://roundcube.net/ A noter qu’il est à nouveau possible de changer le mot de passe de son adresse email dans le webmail, roundcube. Si vous rencontrez des problèmes, n’hésitez pas à nous le signaler ! A bientôt, Les admins Pour nous contacter :
Notre certificat a expiré le 15 avril 2015. Nous venons de le renouveler. Toutes nos excuses pour le retard. Ses empreintes (signées par notre clé OpenPGP) sont disponibles dans notre documentation sur les certificats. Comme le précédent, il est signé par notre propre autorité.
[résolu] Firefox/StopBadware/Google ont retiré herbesfolles de leur liste noire, mais nous avons eu besoin de le leur demander. C’est un nouveau pas dans la centralisation de l’internet aux mains d’un petit nombre d’acteurs qui s’associent pour faire la police du web.
Pour désactiver ces messages - comme c’est le cas dans le TorBrowser par exemple - vous pouvez taper dans la barre d’adresse “about:config” puis chercher la ligne “browser.safebrowsing.malware.enabled” et la fixer à “false”.
L’antispam spamassassin a été mis en place sur le serveur. Pour l’instant il n’ajoute que des vignettes “spam” aux messages qu’il aura identifiés comme tels. Si vous rencontrez un fonctionnement inhabituel suite à cette modification, envoyez-nous un message à l’adresse admins@herbesfolles.org
[Nouvelle : la création de listes de diffusion devrait maintenant fonctionner sans notre intervention. Si vous avez un souci, dîtes-le nous !] Vous avez la possibilité de créer des listes de diffusion depuis votre compte AlternC sur herbesfolles.org. Pour le moment il est nécessaire de nous envoyer un message pour que l’on finisse à la main leur mise en place. Sinon elles ne fonctionneront pas. L’adresse pour nous contacter est toujours : admins@herbesfolles.org Et la clef publique pour nous envoyer un message chiffré est disponible ici : https://docs.herbesfolles.org/herbesfolles.org-0xE6016846-pub.asc
Nous nous associons au texte du fournisseur de services internet Riseup en solidarité avec des personnes arrêtées en Espagne. L’utilisation de Riseup a été retenue à charge contre elles. https://help.riseup.net/fr/about-us/press/security-not-a-crime Note : suite à l’attaque meurtrière de la rédaction de Charlie Hebdo le 7 janvier 2015, nous craignons de voir, comme après les attentats du 11 septembre 2001 aux USA, une avalanche de lois qui étendent les pouvoirs de surveillance et de répression des États. Mardi 16 décembre, une opération policière d’envergure a eu lieu en Espagne. 14 domiciles et centres sociaux ont été perquisitionnés à Barcelone, Sabadell, Manresa et Madrid. Livres, brochures et ordinateurs ont été saisis. 11 personnes ont été arrêtées et déférées devant l’Audiencia Nacional espagnole, un haut tribunal à Madrid s’occupant des affaires d’“intérêt national”. Elles sont accusées de recrutement, promotion, organisation et appartenance à une organisation terroriste. Toutefois, les avocats de la défense dénoncent un manque de transparence, précisant que leurs client·e⋅s ont été interrogé·es sans savoir de quoi ils ou elles étaient accusé·e⋅s. “[Ils] parlent de terrorisme sans préciser les crimes reprochés, ni même les actes individuels attribués à chacun d’entre eux” [1]. Interrogé, le juge Bermúdez répond : “Je n’enquête pas sur des faits spécifiques, j’enquête sur l’organisation, et le danger qu’ils peuvent représenter à l’avenir” [2] ; créant ainsi un nouvel exemple d’arrestation préventive. Quatre des détenu·e⋅s ont été libéré·e⋅s, mais 7 restent en détention préventive pour leur procès à venir. Les motifs présentés par le juge pour leur incarcération sont la détention de certains livres, “la production de publications et de moyens de communication”, et le fait que les accusé·e⋅s “utilisent les emails avec des mesures de sécurité extrêmes, comme les serveurs RISE UP” [2]. Nous rejetons cette criminalisation kafkaïenne des mouvements sociaux, ainsi que l’implication que la protection de la vie privée sur internet est équivalente au terrorisme. Cela est absurde et extrêmement alarmant. Riseup, comme d’autres fournisseurs de courrier électronique, a l’obligation de protéger la confidentialité de ses utilisateurs et utilisatrices. Beaucoup des « mesures de sécurité extrêmes » utilisées par Riesup sont de bonnes pratiques communément admises en termes de sécurité sur Internet et sont aussi utilisées par des fournisseurs de services comme hotmail, GMail ou Facebook. Toutefois, contrairement à ces fournisseurs, Riseup ne veut pas permettre la mise en place de portes dérobées illégales, ni vendre les données de ses utilisateurs et utilisatrices à des tierces parties. Le rapport du parlement européen sur le programme de surveillance de la NSA « souligne que le respect de la vie privée n’est pas un droit de luxe, mais constitue la pierre angulaire d’une société libre et démocratique » [3]. Des révélations récentes sur l’étendue des violations de la vie privée par les États montrent que tout ce qui peut être épié le sera [4]. De plus, nous savons que la criminalisation de l’usage des outils de protection de la vie privée a un effet dissuasif sur toutes et tous, en particulier les défenseur⋅euse⋅s des droits humains, les journalistes et les activistes. Abandonner ses droits fondamentaux à la vie privée par peur d’être identifié·e comme terroriste est inacceptable.
[mise à jour au 18 novembre] On a réparé les listes, tout doit maintenant fonctionner normalement. [15 novembre] Nos travaux sur le serveur se passent plutôt bien. Herbesfolles fonctionne maintentenant sur une nouvelle machine virtuelle toute propre, et d’après nos tests, tous les services fonctionnent normalement… sauf les listes de diffusion. On s’attelle à leur réparation ce week-end. Si vous découvrez d’autres problèmes, merci de nous écrire à l’adresse habituelle : admins@herbesfolles.org.
Une fois n’est pas coutume, nous vous prévenons en avance des travaux sur herbesfolles. Ils auront lieu du 12 au 17 novembre 2014. Si tout se passe bien, les interruptions seront courtes et rares, mais une indisponibilité du serveur pour plusieurs heures ou des problèmes avec certains services ne sont pas à exclure. Nous voulons permettre à herbesfolles de fonctionner en utilisant au mieux ses capacités matérielles, ce qui diminuera le risque de blocages qu’on a eu cet été, réinstaller proprement AlternC - notre gestionnaire d’hébergement - dans une zone dédiée du serveur et y migrer les données existantes.
Nous sommes en train d’effectuer une mise à jour du logiciel de gestion des listes de diffusion. On remet les listes en route dès qu’on y arrive ! [maj : 2014-10-10] Bonne nouvelle, les listes re-fonctionnent. Par contre l’interface d’administration est cassée, à résoudre bientôt. [maj : 2014-10-11] L’interface d’administration est réparée et on peut à nouveau créer de nouvelles listes. [maj : 2014-10-12] Il faut cependant ajouter dans l’interface d’aministration alternc “-nom_de_domaine” à l’url d’administration de la liste générée. Par exemple : https://herbesfolles.org/cgi-bin/mailman/listinfo/maliste-herbesfolles.org plutôt que https://herbesfolles.org/cgi-bin/mailman/listinfo/maliste
Une faille a été découverte début avril dans le logiciel openssl qui est utilisé par herbesfolles ainsi que la plupart des autres serveurs sur Internet pour chiffrer les connexion. Un-e attaquant-e pouvait utiliser cette faille pour déchiffrer les connexions et voler les secrets chiffrée. Pour plus de détails, voir : https://fr.wikipedia.org/wiki/Heartbleed. Nous avons mis à jour le logiciel sur herbesfolles le jour même de la publication du correctif. Cependant, il est possible que des attaquant-es aient utilisé la faille avant qu’elle ne soit publiée. C’est pourquoi nous avons créé de nouveaux certificats TLS que nous allons mettre en place le week-end prochain. [c’est donc fait depuis dimanche 20 avril 2014] Nous vous invitons fortement à changer vos mots de passes UNE FOIS QUE LES NOUVEAUX CERTIFICATS SERONT EN PLACE seulement [vous pouvez donc le faire maintenant] :
Après bien des galères, herbesfolles.org semble à nouveau plus ou moins fonctionnelle… et fonctionne maintenant avec la dernière version de Debian. Les mails et les sites web devraient fonctionner. Il y a par contre toujours des soucis avec les listes de diffusion.
Salut, Comme annoncé dans le mail, on travaille à la mise à jour de herbesfolles vers la version actuelle de Debian. Et à nouveau on se fait (ou casse) les dents sur les différents logiciels de gestion des mails, du web, des listes, et le gestionnaire d’hébergement. Actuellement seul le web marchotte. Les mails et les listes sont bien cassé-es… On se donne tout le temps qu’on peut pour que ça ne dure pas trop longtemps. A bientôt pour de meilleures nouvelles !
On vient de réparer l’interface d’administration et de modération des listes mails. Il reste impossible d’en créer de nouvelles à partir du panneau d’admin. En attendant merci de nous écrire pour créer une nouvelle liste.
Les listes de diffusion fonctionnent à nouveau. Mais leur gestion n’est pas encore réactivée. A suivre.
Mardi 26 novembre nous avons commencé une migration de AlternC. Jeudi 28 novembre nous n’avons toujours pas réussi à remettre en route les listes de diffusion mais nous n’abandonnons pas ! Désolé pour cette interruption sur un des services.
Depuis tout à l’heure, herbesfolles fonctionne sur une nouvelle machine. Tout devrait fonctionner comme avant. Si vous voyez des soucis, prévenez nous !
Les admins d’herbesfolles.org
Les connections chiffrées vers herbesfolles.org sont authentifiées par un certificat. C’est lui qui permet par exemple que tu sois sûr-e de donner le mot de passe de ta boite mail à herbesfolles et pas à n’importe quel petit curieux. Ce certificat avait expiré mercredi 22 mai au soir. On vient seulement d’en mettre en place un nouveau. Il est toujours signé par notre propre autorité (voir https://www.herbesfolles.org/certificatssl/). Pour celleux qui vérifient les empreintes des certificats, celles du nouveau se trouvent en bas de ce post. Il est maintenant aussi possible de vérifier le certificat d’herbesfolles en utilisant monkeysphere. Toutes nos excuses pour la gêne occasionnée, Les nouvelles empreintes (notre clé OpenPGP) :
Herbesfolles fonctionnait mal depuis vendredi 21 dans l’après midi. En tentant de réparer, on a mis herbesfolles totalement dans les choux jusque tout à l’heure (samedi 22 vers 17h). Tout doit être rentré dans l’ordre.
L’ancien certificat ayant expiré, on en créé un nouveau, qui est pour l’instant toujours signé par notre propre autorité. Le changement devrait donc être transparent si tu as installé notre certificat d’autorité.
Une brochure qui propose une vision révolutionnaire du mouvement du logiciel libre : du logiciel libre à l’activisme de rue
Une brochure qui présente la démarche dans laquelle s’inscrit herbesfolles : Internet libre et serveurs autonome.
Dans la nuit de samedi 14 à dimanche 15, herbesfolles est passé à lenny, la toute dernière version stable de debian, avec alternc 0.9.9 et le serveur web apache 2. La mise à jour semble réussie, mais il reste sûrement des problèmes que nous n’avns pas vu. N’hésitez pas à nous prévenir !
Un petit mot pour vous prévenir qu’on va changer les certificats qui permettent de chiffrer la connexion vers le serveur herbesfolles. Ce que ça change ? Pour te connecter de manière sûre, il va falloir que tu installes dans ton navigateur les “certificats racine” de CACert. Pourquoi ? Les certificats sont une genre de clé utilisée lors d’une connexion sécurisée au serveur (par exemple quand tu va lire tes mails sur le webmail pour pas que des méchant⋅e⋅s puisse choper tes mots de passe et lire tes mails). Cette clé te permet d’être sûr⋅e que le serveur auquel tu te connectes est bien herbesfolles. Mais tu as dû constater que les certificats d’herbesfolles n’étaient pas top : quand tu te connectes pour la première fois, tu as un message comme quoi les certificats sont auto-signés et ne sont pas sûrs. C’est parce que en général, les certificats doivent être signés par une “autorité de certification”. C’est une société qui garantit que le certificat correspond bien à ce qu’il annonce, par exemple que le certificat avec marqué “herbesfolles” est bien celui d’herbesfolles. Sauf que ces sociétés sont en génral des socitétés commerciales, que nous détestons le plus souvent. Du coup nos certificats n’étaient signés jusqu’à présent que par nous même. Cependant il existe une autorité de certification “alternative”, CAcert.org, qui est déjà utilisée par plusieurs serveurs autonomes (indymedia, no-log.org notamment). Eh bien à partir du 14 février herbesfolles va avoir ses certificats signés par CACert. Comment faire pour installer les nouveaux certificats ? 1è étape : vérifier l’emperinte du certificat Pour faire les choses bien, il faut vérifier l’empreinte du certificat. C’est un code qui identifie de façon supposée sûre un certificat, c’est à dire que si le certificat que le serveur t’envoie a bien l’empreinte que les camarades qui gèrent le serveur t’ont dit qu’il devait avoir, tu est à peu près sûr⋅e que c’est le vrai certificat, et donc le vrai serveur. Le problème est alors d’avoir l’empreinte du certificat autrement que en se connectant au serveur, sinon le problème reste le même que pour les certificats auto-signés. La meilleure solution serait d’avoir l’empreinte des certificats que tu veux ajouter par un autre canal de communication : sur un bout de papier qu’on te donne, par téléphone de quelqu’un-e dont tu connais la voix… Une solution pas top, mais mieux que rien c’est de la chercher sur internet, mais sur plusieurs autres serveurs. L’empreinte du certificat racine de CACert peut être vérifiée sur :
Spiruline organise un concert de soutien à herbesfolles ce samedi, avec :
samedi 14 février - 20h30 - MJC 3 maisons - rue Fontenoy à Nancy 3-4€ en fonction de vos moyens/ de votre soutien la spiruline crew!!!!!!
À l’occasion des journées mondiales d’action Freedom not Fear (“la liberté, pas la peur”), herbesfolles.org a signé ce texte : En tant qu’hébergeurs, la rétention des données de connexion nous est imposée par la directive 2006/24/EC de l’Union Européenne. Nous voulons sa suppression, car celle-ci instaure la surveillance préventive de toutes les communications électroniques: e-mail, appels téléphoniques et autres échanges numériques. Imaginez que les services postaux gardent trace de toute personne vous envoyant du courrier; quand; qui; comment; oû. C’est exactement ce qui est en train de se passer sur l’Internet, en ce moment même ! En tant qu’intermédiaires techniques, nous sommes contraints de stoquer ces données liées à vos communications. Cependant, il est hors de question que nous nous transformions en auxiliaires de police. Nous entendons faire tout ce qui est en notre possible pour ne pas contribuer à cette attaque contre la vie privée, et encourageons tout le monde à jeter du sable dans cet engrenage ! Nous continuerons à nous battre contre la rétention de données de quelque manière que ce soit, et soutiendrons celles et ceux s’efforcant de faire de même ! Signataires:
Non, vous ne faites peut-être rien d’illégal. Et pourtant. Comme dans d’autres pays, la vie privée et la liberté d’expression et d’information sont menacées en France. Vous êtes fichés via la Base élèves, le Fnaeg, la vidéosurveillance, l’usage de drones, la géolocalisation, le recours à des techniques de biométrie, les puces RFID, le filtrage du net, les amendements Vivendi, la labellisation des sites d’information par le gouvernement, le verrouillage des contenus, la riposte graduée, la responsabilisation des hébergeurs, le paquet télécom, l’HADOPI, le durcissement de la LCEN… Alors, toujours rien à cacher ? Afin d’exprimer une inquiétude forte devant les mesures de plus en plus liberticides à l’encontre de l’usage de l’internet et la techo-surveillance digne d’un roman d’Orwell, de nombreuses organisations à travers le monde appellent à une journée d’action commune le 11 octobre 2008. En France, cette journée se déroulera en deux temps :
En suivant soigneusement la documentation ça s’est - a priori - bien passé :)
La mise à jour de notre logiciel d’hébergement vers sa dernière version a réussi. De plus, les statistiques web doivent maintenant fonctionner !
Attention : depuis que herbesfolles est passé aux certificats letsencrypt (en 2018), cette documentation est obsolète.
Tu veux être sûr-e que ton mot de passe, tu le donnes bien à herbesfolles.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.
Tu dois parfois t’authentifier par mot de passe sur herbesfolles.org, que ce soit pour lire tes mails, administrer ton site, etc. Un bout non négligeable de la sécurité des services que propose herbesfolles.org repose sur le fait que l’on favorise, voire qu’on oblige les communications cryptées (https, etc.) entre :
Eh oui, il faut bien que ça arrive un jour : malgré plein de trucs à fignoler, les mails et l’hébergement commencent à bien fonctionner !
Après une installation mouvementée, a4nancy a un serveur connecté au réseau. Il ne reste plus qu’a le configurer !
Ce projet de serveur autonome pour nancy, sa région et au-delà débute dans la joie en hébergeant le site du nouvel espace autogéré nancéien : l’Aquarium [ http://aquarium.a4nancy.net.eu.org/ ]
a4nancy.net.eu.org - nom de domaine de A4NANCY - apparaît dans les DNS