Certificat SSL

[Attention : depuis que herbesfolles est passé aux certificats letsencrypt (en 2018), cette documentation est obsolète.]

 

Tu veux être sûr-e que ton mot de passe, tu le donnes bien à herbesfolles.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.

Introduction

Tu dois parfois t’authentifier par mot de passe sur herbesfolles.org, que ce soit pour lire tes mails, administrer ton site, etc. Un bout non négligeable de la sécurité des services que propose herbesfolles.org repose sur le fait que l’on favorise, voire qu’on oblige les communications cryptées (https, etc.) entre :

  • le serveur (c’est à dire la machine qui héberge les mails, les sites, les wikis…)
  • les utilisateurices (c’est à dire les ordinateurs d’où illes se connectent).

Mi-2008, cette sécurité a connu une fâcheuse faille qui permettait, pour faire vite, de lire les communications soit-disant cryptées. Juste pour dire que cette sécurité qui repose sur une technologie qui n’est pas infaillible. Néanmoins, on t’encourage vivement à suivre certaines procédures, pour t’assurer que les communications soient aussi dures que possible à déchiffrer.

Une des attaques classiques contre les communications cryptées est le Man In The Middle. Elle consiste à se mettre entre le serveur et l’utilisateur, et de se faire passer pour le serveur aux yeux de l’utilisateur, et réciproquement. Elle permet à l’attaquant de lire tout ce que tu échanges avec le serveur.

Une des manière de se protéger contre cette attaque (en priant pour que la technologie elle-même ne soit pas bugguée…), pour accéder aux services d’herbesfolles.org, est d’installer de bon certificats.

Qu’est-ce qu’un certificat ?

Un certificat permet de vérifier l’identité d’un ordinateur sur Internet, de façon à permettre des échanges « sécurisés ». C’est comme qui dirait une carte d’identité infalsifiable. Sans certificat, tu ne peux jamais être sûr-e que l’ordinateur avec lequel tu dialogues est bien celui d’herbesfolles.org, et tu cours le risque d’offrir, sans le savoir, ton mot de passe sur un plateau aux méchants. Tes échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

Comment vérifier un certificat ?

Après, la question, c’est d’être sûr-e que l’on utilise bien le bon certificat, et pas un certificat refilé par des méchants, placés entre l’ordinateur que l’on utilise et le serveur (soit près du serveur, soir près de l’utilisateur). Pour ça, il faut vérifier son empreinte. Et là, c’est pas gagné, le mieux c’est que tu trouves quelqu’un⋅e qui l’a déjà…

Si tu sais utiliser OpenPGP, nous publions ici les empreintes signées par notre clé OpenPGP.

Sinon, tu peux toujours vérifier l’empreinte celle qui est présente sur ce site, depuis plusieurs endroits différents, en notant la fingerprint, c’est-à-dire le code qui représente le certificat, sur un bout de papier ou un ordinateur portable. Comme ça il faudrait faire un Man in the middle sur tous ces endroits pour t’arnaquer.

Tu peux retrouver ces informations dans l’outil de gestion des certificats de ton navigateur ou de ton système d’exploitation.

Après, c’est possible d’avoir avec soi un petit papier avec la fingerprint du certificat, et ainsi de la regarder quand on utilise un nouvel ordinateur.

Quelle est l’empreinte du certificat d’herbesfolles.org ?

Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat d'herbesfolles.org valable du 21 avril 2017
au 21 avril 2017
Fingerprints of herbesfolles.org certificates from april 21, 2017 to
april 21, 2018

SHA1 Fingerprint:
5C:26:B6:DB:BF:87:42:17:37:3A:E0:0B:AB:2D:0E:4E:25:7E:4F:54

SHA256 Fingerprint:
12:AF:86:58:33:BC:1F:94:24:F1:DE:09:8A:E6:7D:FF:
EA:9E:26:CF:6D:EA:17:3A:A1:06:EB:E5:24:9A:99:BD
-----BEGIN PGP SIGNATURE-----
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=TG49
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat d'herbesfolles.org valable du 20 avril 2016
au 19 avril 2017
Fingerprints of herbesfolles.org certificates from april 20, 2016 to
april 19, 2017

SHA1 Fingerprint:
C3:1C:D8:D0:6E:97:36:FE:80:B8:7B:28:E0:2D:1F:44:A9:89:C7:B6

SHA256 Fingerprint:
A6:08:C5:C3:FC:13:AA:91:2B:BF:2E:49:C4:C9:CB:A3:
F1:AA:B8:FD:0A:48:DF:1D:22:1A:3A:41:D9:67:8D:64
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJXFp/vAAoJEIGfcyDmAWhG3V8P/i3WTgPxhFFa/iXrPqKMjIWe
8OLRsYTEeGc8Th6podnXnlvXxlgSWMdb12guJw/O8cbUriJTUgJgLsCMz4Y2f6cD
to/bhO/3llNgNtL4rN5B4b5Ub7LBc58vaNMzuRohsMW7hBfKFQphHCk69/ZqbVXa
uZxFk3+nUBfAEvQz/oyDU0x5Q7QG4VHPsqVk/KJinQKdIsS+G7MxBbu5MPtgcSm8
geFSX3zzcQH0AJ9xDXGA0/Qw7hsZfKgSDLwIrILU3AQY3cM95zNuTOIWAld3cSSu
HLeyT/kJQZ1i4FvrGrZAKAljjwHXW1z547y1m+nDbd0ApF4YLGpFewT6UafbEKt+
V4vgcnj4OYkrJxfLEkt0Ru8BR3QHP5dnDSr3RyL7W++vNfNjv1dm9BtBJaAbzXuO
JZN4uUFesVaTq7LieAbdCuu70TSPYaA2taGsbMSC9KjtY0lKSQ2+AwdPfI8++e+o
Uu7HBS+rEvvRyXRYNe0Y3FyKj88JzfwFtvR77A/rTKGybvNGNRI+1nrKJHoDlZsg
GgaoTCXGYfLVVgmRPctHnmlFzDQEdBwMzHGlNbfZVXXFU1bprxpIiUpHfK6w2qR9
MqgsmDMrmWucd4X4zrqzbfYZ57YQBjr772+SPGYnOoMZTyC+Kfkqi4CbIzGF+Bd1
5Qum39deP7dJpVqOqKR9
=qI6u
-----END PGP SIGNATURE-----

Qu’est-ce qu’une autorité de certification ?

Un certificat est l’équivalent d’une carte d’identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu’on appelle autorité de certification (CA, pour Certification Authority). Herbesfolles n’aime pas trop ce principe, et est sa propre autorité de certification.

Chaque autorité de certification dispose d’un certificat racine (root certificate), sur lequel les logiciels se basent pour faire confiance aux certificats qu’elle a délivrés. Les certificats racine des autorités de certification commerciales sont intégré dans la plupart des logiciels… mais ce n’est bien sûr pas le cas du notre.

Il te donc installer ce certificat toi-même, sur chaque nouvel ordinateur (dans un cybercafé, chez des ami-e-s, etc.). que tu utilises pour te connecter sur herbesfolles.org, dans le logiciel utilisé (navigateur internet, client mail, etc.).

Il n’y a pas de méthode universelle pour installer un root certificate. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant : http://docs.herbesfolles.org/herbesfolles-cacert.pem.

Pour ce qui est des logiciels de messagerie, et pour certains navigateurs, tu devras télécharger le fichier contenant le certificat sur ton ordinateur, puis l’importer dans ton logiciel.

Les choses se compliquent avec les logiciels Microsoft (Internet Explorer, Outlook…). De toute façon, les services d’herbesfolles.org n’étant pas testés sous ces logiciels, c’est pas gagné qu’ils fonctionnent, tout simplement. Alors laisse tomber, et utilise plutôt ces logiciels « libres » et gratuits, qui fonctionnent sous GNU/Linux, sous Windows et sous MacOS :

  • le navigateur web Firefox ;
  • le logiciel de mail Thunderbird.

Quelle est l’empreinte de notre autorité de certification ?

Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Empreintes du certificat racine d'herbesfolles.org
Fingerprints of herbesfolles.org root CA

SHA1 Fingerprint:
9B:10:17:97:66:9F:C6:41:4A:66:18:8F:32:43:94:3A:34:2B:47:01

SHA256 Fingerprint:
75:98:7B:D2:74:1C:77:E9:8C:CC:A9:9B:3B:D3:F9:64:4E:5C:58:02:80:E1:D9:4B:AC:80:C7:90:33:85:F3:1E
-----BEGIN PGP SIGNATURE-----
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=VkrJ
-----END PGP SIGNATURE-----

Généalogie de cette documentation

Au commencement, cette page fût grandement inspirée de celle de boum.org, qui vient de celle de poivron.org, qui fût elle-même largement pompée sur celle de riseup.net…