Un petit mot pour vous prévenir qu’on va changer les certificats qui permettent de chiffrer la connexion vers le serveur herbesfolles. Ce que ça change ? Pour te connecter de manière sûre, il va falloir que tu installes dans ton navigateur les “certificats racine” de CACert. Pourquoi ? Les certificats sont une genre de clé utilisée lors d’une connexion sécurisée au serveur (par exemple quand tu va lire tes mails sur le webmail pour pas que des méchant⋅e⋅s puisse choper tes mots de passe et lire tes mails). Cette clé te permet d’être sûr⋅e que le serveur auquel tu te connectes est bien herbesfolles. Mais tu as dû constater que les certificats d’herbesfolles n’étaient pas top : quand tu te connectes pour la première fois, tu as un message comme quoi les certificats sont auto-signés et ne sont pas sûrs. C’est parce que en général, les certificats doivent être signés par une “autorité de certification”. C’est une société qui garantit que le certificat correspond bien à ce qu’il annonce, par exemple que le certificat avec marqué “herbesfolles” est bien celui d’herbesfolles. Sauf que ces sociétés sont en génral des socitétés commerciales, que nous détestons le plus souvent. Du coup nos certificats n’étaient signés jusqu’à présent que par nous même. Cependant il existe une autorité de certification “alternative”, CAcert.org, qui est déjà utilisée par plusieurs serveurs autonomes (indymedia, no-log.org notamment). Eh bien à partir du 14 février herbesfolles va avoir ses certificats signés par CACert. Comment faire pour installer les nouveaux certificats ? 1è étape : vérifier l’emperinte du certificat Pour faire les choses bien, il faut vérifier l’empreinte du certificat. C’est un code qui identifie de façon supposée sûre un certificat, c’est à dire que si le certificat que le serveur t’envoie a bien l’empreinte que les camarades qui gèrent le serveur t’ont dit qu’il devait avoir, tu est à peu près sûr⋅e que c’est le vrai certificat, et donc le vrai serveur. Le problème est alors d’avoir l’empreinte du certificat autrement que en se connectant au serveur, sinon le problème reste le même que pour les certificats auto-signés. La meilleure solution serait d’avoir l’empreinte des certificats que tu veux ajouter par un autre canal de communication : sur un bout de papier qu’on te donne, par téléphone de quelqu’un-e dont tu connais la voix… Une solution pas top, mais mieux que rien c’est de la chercher sur internet, mais sur plusieurs autres serveurs. L’empreinte du certificat racine de CACert peut être vérifiée sur :

• CACert
• Riseup
• Autistici
• Boum
• Herbesfolles

Une fois que tu as vérifié cette empreinte sur plusieurs sites, note la sur un bout de papier. 2è étape : ajouter le certificat dans ton navigateur Pour ajouter un certificat racine dans FireFox (ici version 3, mais ça doit être à peu près pareil avec FireFox 2), il suffit de cliquer sur le lien vers le certificat, par exemple celui de CACert. Ensuite tu a une boite de dialogue : “On vous a demandé de confirmer une nouvelle autorité de certification (AC). Voulez vous faire confiance à “cacert.org” pour les actions suivantes ?

• confirmer cette AC pour identifier les sites Web
• confirmer cette AC pour identifier les utilisateurs de courrier.
• confirmer cette AC pour identifier les développeurs de logiciels.

Avant de confirmer cette AC pour quelque raison que ce soit, vous devriez l’examiner elle, ses méthodes et ses procédures (si possible).” Nous ce qu’on va faire, c’est cliquer sur “Voir” pour “Examiner le certificat d’AC”. On a alors une fenêtre qui nous dit qui a émis le certificat pour qui, sa validité, et en bas on a les empreintes numériques. On va s’intéresser à l’“empreinte numérique SHA1” (l’empreinte MD5 n’est plus sûre, on peut actuellement l’imiter). Il suffit de vérifier que la suite de caractères du certificat est bien celle que tu as sur, par exemple, ton petit papier : “13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33” selon moi, mais si tu penses que la sécurité est importante ne crois pas que ce qui est écrit ici ! Si c’est bon, alors tu peux cliquer sur “Fermer”, puis dans la boite précédente, cocher “confirmer cette AC pour identifier les sites Web” et ensite dire “OK”. Qu’est-ce qui me dit que ce mail n’est pas un spam ? Si tu utilise GPG, tu constatera que ce mail est signé par la  clé des administrateurs de herbesfolles. Si tu n’utilise pas GPG, pas grand chose ne te dit que ce n’est pas un spam… c’est pour ça que le même message est sur la page d’accueil de herbesfolles et sur le webmail. Si c’est un⋅e vilain⋅e usurpateurice qui t’envoie ce mail, ça veut dire qu’ille a aussi piraté deux sites de herbesfolles et que donc ille est plutôt incroyablement balèze et tu peux te dire que c’est peu probable. Voili voilà. Pour toute question, n’hésite pas à écrire à admins CHEZ herbesfolles.org. Bravo si tu es arrivé⋅e jusqu’à la fin de ce message & amuse-toi bien !