Retrouver les empreintes numériques des services chiffrés du serveur

Lire la suite…

Depuis que nous utilisons Let’s Encrypt nous avons cessé de publier les empreintes numériques du certificat des services chiffrés (mail, sites web, et aussi FTP) parce qu’elles changent tous les trois mois et que ça nous ajoute une tâche répétitive lassante.

La plupart des logiciels qui utilisent ces services valident automatiquement les empreintes de ce certificat mais ce n’est pas le cas pour tous. Si vous en avez besoin, comme pour Filezilla par exemple, voici comment les retrouver :

  • Aller sur https://www.herbesfolles.org/
  • Dans la barre d’adresse, cliquer sur le cadenas
  • Puis « connexion sécurisée »
  • Puis « Plus d’informations »
  • Puis « Afficher le certificat »
  • Aller voir « Empreintes numériques »

Et hop 🙂

Let’s Encrypt herbesfolles !

Lire la suite…

Herbesfolles est passé à des certificats letsencrypt aussi bien pour les sites que pour les mails et le reste.

Nous avions l’habitude de publier ici les empreintes du certificat d’herbesfolles, signées par notre clé OpenPGP, mais nous ne le faisons plus. Si vous en souhaitez le retour, envoyez-nous un email.

Problème potentiel avec Icedove/Thunderbird (et Iceweasel/Firefox)

Lire la suite…

Si tu utilises Icedove/Thunderbird pour lire et écrire tes messages, tu risques d’expérimenter ceci avec la mise à jour du certificats :

* Le logiciel se connecte à mail.herbesfolles.org pour récupérer les messages, puis, sans rien dire, ne fait rien.
* Si tu essaies d’envoyer un message, il se plaint d’une mauvaise configuration du SMTP.

(Avec Iceweasel/Firefox, tu peux te retrouver face un message d’erreur qui t’interdit d’aller plus loin.)

Il est possible de trouver une solution du côté de Icedove/Thunderbird (et Iceweasel/Firefox), qui a ce comportement si auparavant tu as fait une « exception de sécurité » pour le certificat de herbesfolles.org

Voici les étapes pour résoudre ce problème dans Icedove/Thunderbird (et aussi dans Iceweasel/Firefox) :
1. Aller dans le menu « Édition>Préférences>(onglet)Avancé>(cliquer)Voir les
certificats>(onglet)Serveurs »
2. Chercher dans la liste affichée les lignes où « herbesfolles » apparaît
3. Supprimer ces lignes – qui correspondent à des « exceptions de sécurité »
4. fermer toutes les fenêtres de configuration

Arrivé-e là, Icedove/Thunderbird refonctionnera pour récupérer/envoyer des messages (et Iceweasel/Firefox pour surfer le web) :
* Silencieusement si tu as déjà importé l’autorité de certification de herbesfolles
* En te proposant de faire une nouvelle « exception de sécurité » pour récupérer et envoyer des messages si ce n’est pas le cas.

Le plus souvent, il vaut mieux importer l’autorité de certification de herbesfolles (pas la peine de faire ce qui suit si vous avez déjà importé l’autorité de certification.)

Pour importer l’autorité de certification de herbesfolles dans Icedove/Thunderbird :
1. Télécharger l’autorité de certification (voir http://www.herbesfolles.org/certificatssl/ qui donne les indications pour Iceweasel/Firefox)
2. Aller dans le menu « Édition>Préférences>(onglet)Avancé>(cliquer)Voir les
certificats>(onglet)Autorités>(cliquer)Importer
4. Sélectionner le fichier herbesfolles-cacert.pem que tu viens de télécharger
5. cliquer sur « ce certificat peut identifier des sites web »
6. fermer toutes les fenêtres de configuration

Maintenant, ça devrait fonctionner !

Si ce n’est pas le cas, n’hésite pas à nous envoyer un message : admins@herbesfolles.org (clef publique de chiffrement : http://www.herbesfolles.org/cle-publique/)

Activer une notification d’absence par mess@gerie

Lire la suite…

Si tu es absent-e et que tu souhaites que les personnes qui t’envoient un message soient prévenues, il est possible d’activer un répondeur automatique via le webmail.

Une fois connectée à https://mail.herbesfolles.org/ :
1. Aller dans « Paramètres »
2. Choisir « Filtres »
3. Sélectionner « managesieve » dans la colonne « Groupes de filtres »
4. Cliquer « + » dans la colonne « Filtres »
5. Dans la partie « Définition du filtre »
5.1. Remplacer « Objet » par « À »
5.2. Mettre ton @dresse dans le champ à droite de « contient »
5.3. Remplacer « Déplacer le message vers » par « Répondre avec le message »
6. Dans les nouveaux champs qui s’affichent
6.1. Remplir « Corps du message (raison de l’absence) »
6.2. Remplir « Sujet du message »
6.3. Mettre la durée que tu veux dans « Ne pas renvoyer de message avant »
7. Cliquer sur « Enregistrer » en bas de la page

… Partir se balader loin des claviers…

N. À ton retour il faut retourner dans la page d’édition du filtre, cocher « Filtre désactivé » puis « Enregistrer »

[Résolu] Problème à la création de listes de diffusion

Lire la suite…

[Nouvelle : la création de listes de diffusion devrait maintenant fonctionner sans notre intervention. Si vous avez un souci, dîtes-le nous !]

Vous avez la possibilité de créer des listes de diffusion depuis votre compte AlternC sur herbesfolles.org.

Pour le moment il est nécessaire de nous envoyer un message pour que l’on finisse à la main leur mise en place.

Sinon elles ne fonctionneront pas.

L’adresse pour nous contacter est toujours :

admins@herbesfolles.org

Et la clef publique pour nous envoyer un message chiffré est disponible ici :

https://docs.herbesfolles.org/herbesfolles.org-0xE6016846-pub.asc

Changer son mot de passe email

Lire la suite…

Pour changer votre mot de passe, utiliser le webmail.

Pour des conseils sur le choix d’un mot de passe, nos camarades de potager.org ont écrit une super page : comment choisir un bon mot de passe?

Aller sur https://mail.herbesfolles.org/ et se connecter.

Cliquer en haut à droite de l’interface sur « Paramètres ».

Puis, sur la gauche, sur « Mot de passe ».

Importer son carnet d’adresse dans le nouveau webmail

Lire la suite…

Après nos mises à jour, les personnes qui utilisaient le webmail historique — SquirrelMail — ont eu la mauvaise surprise de voir leurs messages s’afficher de façon complètement aléatoire et de ne plus pouvoir joindre de fichiers..

Ça fait un moment que ce logiciel n’est plus vraiment développé, et ça fait un moment qu’on entretient cet arbre mort en se demandant quand il va s’écrouler… Après une vaine tentative d’essayer de le redresser, on a d’autre choix que d’encourager tout le monde à s’abriter sous le pommier d’à côté, qu’on a vu pousser ces dernières années.

Roundcube est donc maintenant devenu notre plateforme de webmail par défaut, toujours accessible sur https://mail.herbesfolles.org/. Pour les nostalgiques, squirrelmail reste accessible sur https://squirrelmail.herbesfolles.org/.

Pour migrer vos carnets d’adresses si ce n’est pas déjà fait, voici la procédure :

  1. Sur Squirrelmail, accessible à partir de https://squirrelmail.herbesfolles.org/ :
    1. Aller dans la partie « Adresses »
    2. Tout à la fin de la page, cliquer sur « Export to CSV File ».
    3. Sauvegarder la fichier quelque part sur son ordinateur.
  2. Sur Roundcube :
    1. Aller dans le carnet d’adresse (icône en haut à droite avec un buste)
    2. b. Dans la barre d’outil, il faut cliquer sur le bouton « Importer ».
    3. c. À côté de « Importer un fichier », cliquer sur le bouton pour choisir un fichier. Sélectionner le fichier enregistré juste avant.
    4. Cliquer sur « Importer ».

N’hésitez pas à nous écrire si vous avez des soucis avec le carnet ou autre chose… Ça nous tombe aussi un peu dessus et c’est bien possible que des problèmes nous aient échappé.

Clé publique

Lire la suite…

Pour notre adresse mail de contact admins@herbesfolles.org, la clé publique est là : https://docs.herbesfolles.org/admins-herbesfolles.org-0x819F7320E6016846-pub.asc

Empreinte de la clé : 5784 AD27 9E32 98D7 B2D6 9E77 819F 7320 E601 6846

Certificat SSL

Lire la suite…

[Attention : depuis que herbesfolles est passé aux certificats letsencrypt (en 2018), cette documentation est obsolète.]

 

Tu veux être sûr-e que ton mot de passe, tu le donnes bien à herbesfolles.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.

Introduction

Tu dois parfois t’authentifier par mot de passe sur herbesfolles.org, que ce soit pour lire tes mails, administrer ton site, etc. Un bout non négligeable de la sécurité des services que propose herbesfolles.org repose sur le fait que l’on favorise, voire qu’on oblige les communications cryptées (https, etc.) entre :

  • le serveur (c’est à dire la machine qui héberge les mails, les sites, les wikis…)
  • les utilisateurices (c’est à dire les ordinateurs d’où illes se connectent).

Mi-2008, cette sécurité a connu une fâcheuse faille qui permettait, pour faire vite, de lire les communications soit-disant cryptées. Juste pour dire que cette sécurité qui repose sur une technologie qui n’est pas infaillible. Néanmoins, on t’encourage vivement à suivre certaines procédures, pour t’assurer que les communications soient aussi dures que possible à déchiffrer.

Une des attaques classiques contre les communications cryptées est le Man In The Middle. Elle consiste à se mettre entre le serveur et l’utilisateur, et de se faire passer pour le serveur aux yeux de l’utilisateur, et réciproquement. Elle permet à l’attaquant de lire tout ce que tu échanges avec le serveur.

Une des manière de se protéger contre cette attaque (en priant pour que la technologie elle-même ne soit pas bugguée…), pour accéder aux services d’herbesfolles.org, est d’installer de bon certificats.

Qu’est-ce qu’un certificat ?

Un certificat permet de vérifier l’identité d’un ordinateur sur Internet, de façon à permettre des échanges « sécurisés ». C’est comme qui dirait une carte d’identité infalsifiable. Sans certificat, tu ne peux jamais être sûr-e que l’ordinateur avec lequel tu dialogues est bien celui d’herbesfolles.org, et tu cours le risque d’offrir, sans le savoir, ton mot de passe sur un plateau aux méchants. Tes échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

Comment vérifier un certificat ?

Après, la question, c’est d’être sûr-e que l’on utilise bien le bon certificat, et pas un certificat refilé par des méchants, placés entre l’ordinateur que l’on utilise et le serveur (soit près du serveur, soir près de l’utilisateur). Pour ça, il faut vérifier son empreinte. Et là, c’est pas gagné, le mieux c’est que tu trouves quelqu’un⋅e qui l’a déjà…

Si tu sais utiliser OpenPGP, nous publions ici les empreintes signées par notre clé OpenPGP.

Sinon, tu peux toujours vérifier l’empreinte celle qui est présente sur ce site, depuis plusieurs endroits différents, en notant la fingerprint, c’est-à-dire le code qui représente le certificat, sur un bout de papier ou un ordinateur portable. Comme ça il faudrait faire un Man in the middle sur tous ces endroits pour t’arnaquer.

Tu peux retrouver ces informations dans l’outil de gestion des certificats de ton navigateur ou de ton système d’exploitation.

Après, c’est possible d’avoir avec soi un petit papier avec la fingerprint du certificat, et ainsi de la regarder quand on utilise un nouvel ordinateur.

Quelle est l’empreinte du certificat d’herbesfolles.org ?

Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat d'herbesfolles.org valable du 21 avril 2017
au 21 avril 2017
Fingerprints of herbesfolles.org certificates from april 21, 2017 to
april 21, 2018

SHA1 Fingerprint:
5C:26:B6:DB:BF:87:42:17:37:3A:E0:0B:AB:2D:0E:4E:25:7E:4F:54

SHA256 Fingerprint:
12:AF:86:58:33:BC:1F:94:24:F1:DE:09:8A:E6:7D:FF:
EA:9E:26:CF:6D:EA:17:3A:A1:06:EB:E5:24:9A:99:BD
-----BEGIN PGP SIGNATURE-----
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=TG49
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat d'herbesfolles.org valable du 20 avril 2016
au 19 avril 2017
Fingerprints of herbesfolles.org certificates from april 20, 2016 to
april 19, 2017

SHA1 Fingerprint:
C3:1C:D8:D0:6E:97:36:FE:80:B8:7B:28:E0:2D:1F:44:A9:89:C7:B6

SHA256 Fingerprint:
A6:08:C5:C3:FC:13:AA:91:2B:BF:2E:49:C4:C9:CB:A3:
F1:AA:B8:FD:0A:48:DF:1D:22:1A:3A:41:D9:67:8D:64
-----BEGIN PGP SIGNATURE-----
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=qI6u
-----END PGP SIGNATURE-----

Qu’est-ce qu’une autorité de certification ?

Un certificat est l’équivalent d’une carte d’identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu’on appelle autorité de certification (CA, pour Certification Authority). Herbesfolles n’aime pas trop ce principe, et est sa propre autorité de certification.

Chaque autorité de certification dispose d’un certificat racine (root certificate), sur lequel les logiciels se basent pour faire confiance aux certificats qu’elle a délivrés. Les certificats racine des autorités de certification commerciales sont intégré dans la plupart des logiciels… mais ce n’est bien sûr pas le cas du notre.

Il te donc installer ce certificat toi-même, sur chaque nouvel ordinateur (dans un cybercafé, chez des ami-e-s, etc.). que tu utilises pour te connecter sur herbesfolles.org, dans le logiciel utilisé (navigateur internet, client mail, etc.).

Il n’y a pas de méthode universelle pour installer un root certificate. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant : http://docs.herbesfolles.org/herbesfolles-cacert.pem.

Pour ce qui est des logiciels de messagerie, et pour certains navigateurs, tu devras télécharger le fichier contenant le certificat sur ton ordinateur, puis l’importer dans ton logiciel.

Les choses se compliquent avec les logiciels Microsoft (Internet Explorer, Outlook…). De toute façon, les services d’herbesfolles.org n’étant pas testés sous ces logiciels, c’est pas gagné qu’ils fonctionnent, tout simplement. Alors laisse tomber, et utilise plutôt ces logiciels « libres » et gratuits, qui fonctionnent sous GNU/Linux, sous Windows et sous MacOS :

  • le navigateur web Firefox ;
  • le logiciel de mail Thunderbird.

Quelle est l’empreinte de notre autorité de certification ?

Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat racine d'herbesfolles.org
Fingerprints of herbesfolles.org root CA

SHA1 Fingerprint:
9B:10:17:97:66:9F:C6:41:4A:66:18:8F:32:43:94:3A:34:2B:47:01

SHA256 Fingerprint:
75:98:7B:D2:74:1C:77:E9:8C:CC:A9:9B:3B:D3:F9:64:4E:5C:58:02:80:E1:D9:4B:AC:80:C7:90:33:85:F3:1E
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJVNkaNAAoJEIGfcyDmAWhGpBoP/Ar00iKpFSwrFFJnsVCugL0n
erUKBhsZm9miSpcPu86m1/6uWDFX62f8kek5r52r9qe/rKxUL4FmS70Z5AEqYdfk
8CcV7PpgnFmFe6R30VE/jBuH/lpRjHERMCtcS7BSXkIk8Hxqt8EsZHNt5xGRh8l1
n7YTjJmJY60vlDPBdYkaz3+fzPK4pN1KnAuUt+uJunlpo4ur1ybQLXKlja00ZFoh
ZmshoozG/w6AW/Fqgejx7jXxg3j/9rMs+Svx8ZZZHlzCqXk+ZNmLACZvp3actKx9
cW8IolbBh9XyeHDewXCFPtHc7tcAfXJD1vULECvF9Lyahb8AENPQ4ZPKbxacaFsl
rcITRt2V4lpXBBVozgEAUvWYVyMIuKD3Y+ymqI1Y+RFlgYczpgV+GG/iYlo8zSxd
8n/Y9OlvJOCHMKT+xUckpkRi2sNbfSl2bPrpAJ1hMo5AyCR3JLviAjz68ZW0BwfJ
tvQbLat7q9jRQXP817O4DQv3YoJ4GMnBwNznnXDMB6wxGF62WX/NckayHW/OIP6o
SKhIkFIndoLGQp1+8xtYqewTJlYxjakzdaRYNEDr6CM5HzWb+ecs56wflOTsMqxw
WjV5Lmllpmd3qRUZFOYNU0BDa7FHzXKIc+foq+1D6bIgmRCViUF5QRliZm+ylGhB
on8f5q3cccgwK/Rxqa3p
=VkrJ
-----END PGP SIGNATURE-----

Généalogie de cette documentation

Au commencement, cette page fût grandement inspirée de celle de boum.org, qui vient de celle de poivron.org, qui fût elle-même largement pompée sur celle de riseup.net…

Informations de base pour utiliser le serveur

Lire la suite…

(Cette doc est provisoire depuis longtemps, (juste) le temps d’installer un vrai système de doc commun à tou-te-s les utilisateurices du serveur)

Mail

  • Serveur POP3S, IMAPS et SMTPS : mail.herbesfolles.org
  • Login : ton adresse entière, genre truc@herbesfolles.org (requis pour utiliser le SMTP aussi)
  • Remarque : Il n’est plus possible d’utiliser les versions non sécurisées de ces protocoles.

DNS

  • primaire : a4nancy.globenet.org (80.67.172.114)
  • secondaire : ns1.alternc.net (91.194.60.82)

Gestion de sites

Pour utiliser le ftp :

  • serveur : herbesfolles.org
  • login / mot de passe : il vous faut créer un compte FTP sur votre interface d’administration (admin.herbesfolles.org)

L’utilisation du FTPs est fortement conseillée (sinon ton mot de passe est transmis en clair), il est probable qu’on interdise le FTP non sécurisé d’ici quelques temps. Nous supportons TLSv1. Les clients FTP suivants sont compatibles avec FTPs :

Pour utiliser mysql :

Aller plus loin

    Par ailleurs, il existe ailleurs de la documentation (qui ne correspond pas toujours exactement à la version d’AlternC que nous utilisons pour herbesfolles) :

  • Alternc – documentation utilisateurice : http://www.aide-alternc.org/300/-Documentation-en-Francais-