Certificat SSL
[Attention : depuis que herbesfolles est passé aux certificats letsencrypt (en 2018), cette documentation est obsolète.]
Tu veux être sûr-e que ton mot de passe, tu le donnes bien à herbesfolles.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.
Introduction
Tu dois parfois t’authentifier par mot de passe sur herbesfolles.org, que ce soit pour lire tes mails, administrer ton site, etc. Un bout non négligeable de la sécurité des services que propose herbesfolles.org repose sur le fait que l’on favorise, voire qu’on oblige les communications cryptées (https, etc.) entre :
- le serveur (c’est à dire la machine qui héberge les mails, les sites, les wikis…)
- les utilisateurices (c’est à dire les ordinateurs d’où illes se connectent).
Mi-2008, cette sécurité a connu une fâcheuse faille qui permettait, pour faire vite, de lire les communications soit-disant cryptées. Juste pour dire que cette sécurité qui repose sur une technologie qui n’est pas infaillible. Néanmoins, on t’encourage vivement à suivre certaines procédures, pour t’assurer que les communications soient aussi dures que possible à déchiffrer.
Une des attaques classiques contre les communications cryptées est le Man In The Middle. Elle consiste à se mettre entre le serveur et l’utilisateur, et de se faire passer pour le serveur aux yeux de l’utilisateur, et réciproquement. Elle permet à l’attaquant de lire tout ce que tu échanges avec le serveur.
Une des manière de se protéger contre cette attaque (en priant pour que la technologie elle-même ne soit pas bugguée…), pour accéder aux services d’herbesfolles.org, est d’installer de bon certificats.
Qu’est-ce qu’un certificat ?
Un certificat permet de vérifier l’identité d’un ordinateur sur Internet, de façon à permettre des échanges « sécurisés ». C’est comme qui dirait une carte d’identité infalsifiable. Sans certificat, tu ne peux jamais être sûr-e que l’ordinateur avec lequel tu dialogues est bien celui d’herbesfolles.org, et tu cours le risque d’offrir, sans le savoir, ton mot de passe sur un plateau aux méchants. Tes échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.
Comment vérifier un certificat ?
Après, la question, c’est d’être sûr-e que l’on utilise bien le bon certificat, et pas un certificat refilé par des méchants, placés entre l’ordinateur que l’on utilise et le serveur (soit près du serveur, soir près de l’utilisateur). Pour ça, il faut vérifier son empreinte. Et là, c’est pas gagné, le mieux c’est que tu trouves quelqu’un⋅e qui l’a déjà…
Si tu sais utiliser OpenPGP, nous publions ici les empreintes signées par notre clé OpenPGP.
Sinon, tu peux toujours vérifier l’empreinte celle qui est présente sur ce site, depuis plusieurs endroits différents, en notant la fingerprint, c’est-à-dire le code qui représente le certificat, sur un bout de papier ou un ordinateur portable. Comme ça il faudrait faire un Man in the middle sur tous ces endroits pour t’arnaquer.
Tu peux retrouver ces informations dans l’outil de gestion des certificats de ton navigateur ou de ton système d’exploitation.
Après, c’est possible d’avoir avec soi un petit papier avec la fingerprint du certificat, et ainsi de la regarder quand on utilise un nouvel ordinateur.
Quelle est l’empreinte du certificat d’herbesfolles.org ?
Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Empreintes du certificat d'herbesfolles.org valable du 21 avril 2017 au 21 avril 2017 Fingerprints of herbesfolles.org certificates from april 21, 2017 to april 21, 2018 SHA1 Fingerprint: 5C:26:B6:DB:BF:87:42:17:37:3A:E0:0B:AB:2D:0E:4E:25:7E:4F:54 SHA256 Fingerprint: 12:AF:86:58:33:BC:1F:94:24:F1:DE:09:8A:E6:7D:FF: EA:9E:26:CF:6D:EA:17:3A:A1:06:EB:E5:24:9A:99:BD -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEV4StJ54ymNey1p53gZ9zIOYBaEYFAlj6d3gACgkQgZ9zIOYB aEaEjA//f7uDm7pBt/ADAg8YIjz5Vg15Odlc3dl5MCi1yk3oTJZUsQoHxbrSMPUy iPw8frlcK9GtxgJ25mjEbwGA2W8CV5hxEXwfw+MDrTBGZYon/pVA+5bcQbHwP8fM 8LkGNl0P0a2Hx6SomocHaTdi/R6eO0LZQJabfce1LBVroRh6/INGoG3wjQA2PK/d qnFFgrDlbWACLcS+cG1JKbriXgcPV7uHSnrtkQsyiVUZbxr5kIBWhLV42L5K4PS/ OdLPYWJNwK7A1sfMug3LsosRewPn+X0MmFlgdvBmgWbcaLExxbdSx/vPjM15nHjU pNfJgi1iRhf9ODOY00+b0a2xeCympPgl/feb7k4oUFeSuXLwW02Xi4iKi1iPK29i SN6su48cJknHgesf/88WlwNrfRyOAe4jGUlFHEB84rEQgEChozt+RpxsUx09xoFp 7QrsWfsiGpScDj9npLts94lucMNeHOWNEf6rRCl/SUgRMrq7W/Gd8PfeysbGHIo6 1nGCxpRejDB0HbGqKOh1LvF26KeCVxCODUUGNDyasc10Rqk0xOASZVmfGrD9EnyK wu/WT73OlgPa17n32GrLEIENFJQojKPyAt/khPfxk4+EHo9hF/jZ9In4YxJBa1uJ EkVc/wbT+WZs6TtdXkFqXBcegzGkJdSpwAaPBO/EsisdeJA0yrA= =TG49 -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Empreintes du certificat d'herbesfolles.org valable du 20 avril 2016 au 19 avril 2017 Fingerprints of herbesfolles.org certificates from april 20, 2016 to april 19, 2017 SHA1 Fingerprint: C3:1C:D8:D0:6E:97:36:FE:80:B8:7B:28:E0:2D:1F:44:A9:89:C7:B6 SHA256 Fingerprint: A6:08:C5:C3:FC:13:AA:91:2B:BF:2E:49:C4:C9:CB:A3: F1:AA:B8:FD:0A:48:DF:1D:22:1A:3A:41:D9:67:8D:64 -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJXFp/vAAoJEIGfcyDmAWhG3V8P/i3WTgPxhFFa/iXrPqKMjIWe 8OLRsYTEeGc8Th6podnXnlvXxlgSWMdb12guJw/O8cbUriJTUgJgLsCMz4Y2f6cD to/bhO/3llNgNtL4rN5B4b5Ub7LBc58vaNMzuRohsMW7hBfKFQphHCk69/ZqbVXa uZxFk3+nUBfAEvQz/oyDU0x5Q7QG4VHPsqVk/KJinQKdIsS+G7MxBbu5MPtgcSm8 geFSX3zzcQH0AJ9xDXGA0/Qw7hsZfKgSDLwIrILU3AQY3cM95zNuTOIWAld3cSSu HLeyT/kJQZ1i4FvrGrZAKAljjwHXW1z547y1m+nDbd0ApF4YLGpFewT6UafbEKt+ V4vgcnj4OYkrJxfLEkt0Ru8BR3QHP5dnDSr3RyL7W++vNfNjv1dm9BtBJaAbzXuO JZN4uUFesVaTq7LieAbdCuu70TSPYaA2taGsbMSC9KjtY0lKSQ2+AwdPfI8++e+o Uu7HBS+rEvvRyXRYNe0Y3FyKj88JzfwFtvR77A/rTKGybvNGNRI+1nrKJHoDlZsg GgaoTCXGYfLVVgmRPctHnmlFzDQEdBwMzHGlNbfZVXXFU1bprxpIiUpHfK6w2qR9 MqgsmDMrmWucd4X4zrqzbfYZ57YQBjr772+SPGYnOoMZTyC+Kfkqi4CbIzGF+Bd1 5Qum39deP7dJpVqOqKR9 =qI6u -----END PGP SIGNATURE-----
Qu’est-ce qu’une autorité de certification ?
Un certificat est l’équivalent d’une carte d’identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu’on appelle autorité de certification (CA, pour Certification Authority). Herbesfolles n’aime pas trop ce principe, et est sa propre autorité de certification.
Chaque autorité de certification dispose d’un certificat racine (root certificate), sur lequel les logiciels se basent pour faire confiance aux certificats qu’elle a délivrés. Les certificats racine des autorités de certification commerciales sont intégré dans la plupart des logiciels… mais ce n’est bien sûr pas le cas du notre.
Il te donc installer ce certificat toi-même, sur chaque nouvel ordinateur (dans un cybercafé, chez des ami-e-s, etc.). que tu utilises pour te connecter sur herbesfolles.org, dans le logiciel utilisé (navigateur internet, client mail, etc.).
Il n’y a pas de méthode universelle pour installer un root certificate. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant : http://docs.herbesfolles.org/herbesfolles-cacert.pem.
Pour ce qui est des logiciels de messagerie, et pour certains navigateurs, tu devras télécharger le fichier contenant le certificat sur ton ordinateur, puis l’importer dans ton logiciel.
Les choses se compliquent avec les logiciels Microsoft (Internet Explorer, Outlook…). De toute façon, les services d’herbesfolles.org n’étant pas testés sous ces logiciels, c’est pas gagné qu’ils fonctionnent, tout simplement. Alors laisse tomber, et utilise plutôt ces logiciels « libres » et gratuits, qui fonctionnent sous GNU/Linux, sous Windows et sous MacOS :
- le navigateur web Firefox ;
- le logiciel de mail Thunderbird.
Quelle est l’empreinte de notre autorité de certification ?
Voici les empreintes du certificat d’herbesfolles (signées par notre clé OpenPGP). Ne leur fait pas confiance sans lire « comment vérifier un certificat » ci-dessus.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Empreintes du certificat racine d'herbesfolles.org Fingerprints of herbesfolles.org root CA SHA1 Fingerprint: 9B:10:17:97:66:9F:C6:41:4A:66:18:8F:32:43:94:3A:34:2B:47:01 SHA256 Fingerprint: 75:98:7B:D2:74:1C:77:E9:8C:CC:A9:9B:3B:D3:F9:64:4E:5C:58:02:80:E1:D9:4B:AC:80:C7:90:33:85:F3:1E -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJVNkaNAAoJEIGfcyDmAWhGpBoP/Ar00iKpFSwrFFJnsVCugL0n erUKBhsZm9miSpcPu86m1/6uWDFX62f8kek5r52r9qe/rKxUL4FmS70Z5AEqYdfk 8CcV7PpgnFmFe6R30VE/jBuH/lpRjHERMCtcS7BSXkIk8Hxqt8EsZHNt5xGRh8l1 n7YTjJmJY60vlDPBdYkaz3+fzPK4pN1KnAuUt+uJunlpo4ur1ybQLXKlja00ZFoh ZmshoozG/w6AW/Fqgejx7jXxg3j/9rMs+Svx8ZZZHlzCqXk+ZNmLACZvp3actKx9 cW8IolbBh9XyeHDewXCFPtHc7tcAfXJD1vULECvF9Lyahb8AENPQ4ZPKbxacaFsl rcITRt2V4lpXBBVozgEAUvWYVyMIuKD3Y+ymqI1Y+RFlgYczpgV+GG/iYlo8zSxd 8n/Y9OlvJOCHMKT+xUckpkRi2sNbfSl2bPrpAJ1hMo5AyCR3JLviAjz68ZW0BwfJ tvQbLat7q9jRQXP817O4DQv3YoJ4GMnBwNznnXDMB6wxGF62WX/NckayHW/OIP6o SKhIkFIndoLGQp1+8xtYqewTJlYxjakzdaRYNEDr6CM5HzWb+ecs56wflOTsMqxw WjV5Lmllpmd3qRUZFOYNU0BDa7FHzXKIc+foq+1D6bIgmRCViUF5QRliZm+ylGhB on8f5q3cccgwK/Rxqa3p =VkrJ -----END PGP SIGNATURE-----
Généalogie de cette documentation
Au commencement, cette page fût grandement inspirée de celle de boum.org, qui vient de celle de poivron.org, qui fût elle-même largement pompée sur celle de riseup.net…
Posted on novembre 25th, 2007 by admin
Filed under: Aide