Tuto – Installation du script cryptcheck

Aujourd’hui je vous propose un article dans la continuité de celui qui s’intitulait Configurer son serveur web en HTTPS. Pour cela, petit tuto pour installer cryptcheck qui est une application Ruby 2.2.2 développée par  Aeris22 qui permet de tester différents paramètres SSL/TLS ainsi que les ciphers. A la fin on obtient une note globale d’une lettre. Il supporte les protocoles HTTPS, SMTP et XMPP.

Tout d’abord on met à jour les dépôts puis on installe quelques bricoles comme le git pour récupérer les sources, le make pour compiler et quelques lib nécessaires au rbenv (Ruby Environment).

apt-get update
apt-get install make gcc git libssl-dev libreadline-dev zlib1g-dev

Ensuite on vient cloner les fichiers de rbenv dans un dossier caché .rbenv sur l’utilisateur (celui de la session en cours).

git clone https://github.com/sstephenson/rbenv.git ~/.rbenv

Il y a 2 manipulations à faire (dans cette ordre) pour que le shell retrouve les binaires Ruby à la demande d’exécution plus tard. Pour les debian et ubuntu c’est vers le fichier .bashrc que l’on va écrire, il se peut que ça soit vers .bash_profile suivant la distribution.

echo ‘export PATH= »$HOME/.rbenv/bin:$PATH »‘ >> ~/.bashrc
echo ‘eval « $(rbenv init -) »‘ >> ~/.bashrc

Il faut redémarrer le shell pour que les modifications soient prise en compte, fermer la fenêtre et la relancer ou se déconnecter et reconnecter. Taper la commande :

type rbenv

On doit obtenir la réponse :

#=> « rbenv is a function »

ou

rbenv est une fonction

L’environnement est installé mais c’est une coquille vide et nous voulons disposer de la version 2.2.2 de Ruby. Pour ce faire nous devons installer ruby-build.

git clone https://github.com/sstephenson/ruby-build.git ~/.rbenv/plugins/ruby-build

Puis pour installer cette fameuse 2.2.2 :

rbenv install 2.2.2

Il va se passer de nombreuses minutes pour cette installation, c’est normal et dépend de votre machine. Quand c’est terminé il faut déclarer que cette version est disponible :

rbenv global 2.2.2

Pour Ruby c’est terminé, on passe à cryptcheck.

git clone https://github.com/aeris/cryptcheck.git
cd cryptcheck/
make

Il est très important de faire un make et non un sudo make car au moment d’exécuter Ruby, il ne le trouvera pas ne disposant du bon chemin car plus dans le contexte de l’utilisateur. Si le make s’interrompt, on peut le relancer en tapant make de nouveau. J’ai eu le cas sur un problème de récupération d’openSSL.

Dernière installation à faire avant de lancer le test.

gem install bundler && bundle install

Pour lancer le test d’un serveur web :

./bin/check_https monsiteweb.fr

Un outil bien pratique pour des tests en local avant de mettre un serveur en vue sur internet par exemple.

Mise à jour : 24/08/2015 sslcheck s’appelle maintenant cryptcheck

Stay tuned !

Renouveler son certificat x509

Après 6 mois sans article, je vous fais ce (petit) billet à propos du renouvellement d’un certificat x509 (SSL/TLS). Dans un article précédent Générer un certificat SSL valide et gratuit j’expliquais comment faire une demande et obtenir un certificat valide aux yeux des navigateurs en utilisant les services de startssl.com

A 15 jours de l’expiration de mon certificat, je reçois un mail d’avertissement sur l’adresse postmaster de mon domaine afin de me prévenir. De même sur l’adresse email enregistrée pour l’administration puisque pour ceux qui ne savent pas, l’authentification se fait via certificat client associé à l’adresse email.

Une fois connecté au portail d’administration, il y a 2 choses à faire, renouveler le certificat client et le certificat serveur pour le domaine (qui est en fait une nouvelle génération à chaque fois).

Renouveler le certificat client :

Renseigner l’adresse email utilisée pour l’administration sur le site.

Un code de confirmation est envoyé par email, le saisir pour confirmer que vous avez accès à cet email.

Choisir l’adresse email dont on veut faire le certificat, concernant le hash, préférer du SHA2 sauf si votre OS est (très) ancien.

Le nouveau certificat s’installe dans votre navigateur, le magasin ou dans le trousseau d’accès pour les propriétaires d’appareil avec une pomme. Personnellement j’ai retiré mon ancien certificat, mais on peut conserver les 2 à priori.

Renouveler le certificat serveur :

J’ai généré un csr en local sur ma machine donc je passe à « Skip » directement. Pourquoi ? La clé privée reste chez moi, tout simplement. Pour la Keysize, je vous conseille d’opter tout de suite pour 4096 et non 2048 (Medium) comme sélectionné par défaut. Voici la commande OpenSSL que j’utilise, le CSR à copier/coller sera dans csr.txt, la clé privée dans mon.domaine.fr.key

openssl req -newkey rsa:4096 -sha512 -keyout mon.domaine.fr.key -nodes -subj /C=FR/O=domaine.fr/CN=mon.domaine.fr/ -out csr.txt

Ensuite il vous sera demandé d’indiquer à nouveau le domaine et un sous domaine (SAN). Si tout est OK, vous recevrez l’information par email (sur l’adresse postmaster) quand le certificat sera prêt.

Récupérer le certificat serveur :

Le retrait du certificat serveur est un peu moins commode que pour celui de la partie client.

Il faut faire un copier/coller de tout le bloc de texte dans un fichier, c’est ça le certificat associé à la clé privée.

Dernier point important, la chaine de certification, c’est grâce à cela que le certificat parait valide pour les navigateurs. Nous aurons besoin de ceci :

Il y a la possibilité de les télécharger et faire un copier/coller des 2 certificats de StartCom plus le notre (ssl.crt) en un seul fichier à la main ou de réutiliser quelques commandes de la dernière fois.

wget http://www.startssl.com/certs/ca.pem
wget http://www.startssl.com/certs/sub.class1.server.ca.pem
cat ssl.crt sub.class1.server.ca.pem ca.pem > ssl-unified.crt

Il vous restera à placer les fichiers au bon endroit, vérifier la configuration du serveur ainsi que les permissions sur le fichier de la clé privée, il est conseillé de faire un chmod 600 et clown root:root dessus.

Conclusion

Pour conclure ce renouvellement, je vous invite à vérifier votre site et l’implémentation SSL directement sur le site https://www.ssllabs.com une référence en la matière. Avec ce nouveau certificat et l’optimisation de ma configuration, je passe de la note « A » à « A+ ».

 

Stay tuned !

Tuto – Générer un certificat SSL valide et gratuit

Retrouvez mon article publié hier sur touteladomotique.com qui vous explique de A à Z comment un générer un certificat X509 (les puristes reconnaîtront) valide et gratuit !

Le tout est bien entendu utilisé lors des connexions sécurisées et chiffrées type HTTPS exemple.

http://www.touteladomotique.com/index.php?option=com_content&view=article&id=1247:tuto-generer-et-installer-un-certificat-ssl-valide&catid=79:informatique&Itemid=90#.U9Fx3FY_GC8

Stay tuned !

Faille OpenSSL HeartBleed sur Raspberry Pi

On en parle beaucoup et partout depuis quelques jours, la faille qui touche OpenSSL, heartbleed (coeur saignant) de son petit nom, touche également les Raspberry Pi. Comment ? OpenSSL est utilisé dans de nombreux protocoles comme HTTPS…

Pour résumer, une personne mal intentionnée pourrait récupérer des mots de passe via cette faille sans que cela ne laisse de trace sur le serveur. Il est conseillé de mettre à jour les paquets SSL, de régénérer les certificats et ensuite de changer les mots de passe. Oui c’est lourd, mais c’est le prix de la sécurité, et puis comme vous changez régulièrement vos mots de passe, ça rapproche juste l’échéance 😉

Connaitre la version d’OpenSSL installée :

openssl version

Ou pour la version des packages nommés *ssl* :

sudo dpkg -l | grep ssl

Mise à jour de la liste des packages et installation :

sudo apt-get update
sudo apt-get upgrade

Génération de nouveaux certificats pour HTTPS, pour nginx :

cd /etc/nginx/certs/
sudo openssl genrsa -des3 -out nginx2.key 2048
sudo openssl req -new -key nginx2.key -out nginx2.csr
sudo cp nginx2.key nginx2.key.copy
sudo openssl rsa -in nginx2.key.copy -out nginx2.key
sudo openssl x509 -req -days 1000 -in nginx2.csr -signkey nginx2.key -out nginx2.crt

Edition de la configuration de nginx :

sudo vi /etc/nginx/sites-enabled/default

Dans la partie server listen 443, modifiez pour prendre en compte les certificats :

ssl_certificate /etc/nginx/certs/nginx2.crt;
ssl_certificate_key /etc/nginx/certs/nginx2.key;

Un simple « reload » aurait suffit pour cette modification, mais pour que nginx prenne en compte les nouveaux paquets OpenSSL et libSSL, on le redémarre complètement :

sudo service nginx restart

Lors de la prochaine connexion sur votre serveur, il faudra de nouveau accepter votre certificat (auto-signé) pour que tout fonctionne correctement et accéder à vos services.

Il ne reste plus qu’à changer les mots de passe des applications ou comptes utilisés.

Stay tuned !