Enlarge (credit: Aurich Lawson | Getty Images)

Previously, on "Weekend Projects for Homelab Admins With Control Issues," we created our own dynamically updating DNS and DHCP setup with bind and dhcpd. We laughed. We cried. We hurled. Bonds were forged, never to be broken. And I hope we all took a little something special away from the journey—namely, a dynamically updating DNS and DHCP setup. Which we're now going to put to use!

If you're joining us fresh, without having gone through the previous part and wanting to follow this tutorial, howdy! There might be some parts that are more difficult to complete without a local instance of bind (or other authoritative resolver compatible with nsupdate ). We'll talk more about this when we get there, but just know that if you want to pause and go do part one first , you may have an easier time following along.

The quick version: A LetsEncrypt of our own

This article will walk through the process of installing step-ca , a standalone certificate authority-in-a-box. We'll then configure step-ca with an ACME provisioner—that's Automatic Certificate Management Environment , the technology that underpins LetsEncrypt and facilitates the automatic provisioning, renewal, and revocation of SSL/TLS certificates.

Read 118 remaining paragraphs | Comments

Enlarge (credit: Getty Images | Yuichiro Chino )

One of the biggest advances in Web security over the last decade or so is the proliferation of secure, encrypted HTTPS connections . Once the purview of shopping and banking sites, HTTPS connections have become the norm rather than the exception, keeping more of your credentials and data safe from being intercepted even when you're on public or insecure networks.

Browsers going all the way back to Internet Explorer have used a small padlock icon to denote that a connection is using HTTPS. But according to the team behind the Chromium browser engine, most people still don't know what that padlock icon actually means . Because of that confusion, and because HTTPS is now expected for most sites, Chromium will retire the padlock icon starting in Chrome 117, slated for release in September alongside a larger refresh of the Chrome interface.

"Replacing the lock icon with a neutral indicator prevents the misunderstanding that the lock icon is associated with the trustworthiness of a page, and emphasizes that security should be the default state in Chrome," reads a Chromium blog post from the Chrome security team.

Read 4 remaining paragraphs | Comments

Enlarge / A photo of an IBM PC 5155 portable computer running a ChatGPT client written by Yeo Kheng Meng. (credit: Yeo Kheng Meng )

On Sunday, Singapore-based retrocomputing enthusiast Yeo Kheng Meng released a ChatGPT client for MS-DOS that can run on a 4.77 MHz IBM PC from 1981, providing a unique way to converse with the popular OpenAI language model.

Vintage computer development projects come naturally to Yeo, who created a Slack client for Windows 3.1 back in 2019. "I thought to try something different this time and develop for an even older platform as a challenge," he writes on his blog. In this case, he turned his attention to MS-DOS , a text-only operating system first released in 1981, and ChatGPT , an AI-powered large language model (LLM) released by OpenAI in November.

As a conversational AI model, ChatGPT draws on knowledge scraped from the Internet to answer questions and generate text. Thanks to an API that launched his month , anyone with the programming chops can interface ChatGPT with their own custom application.

Read 9 remaining paragraphs | Comments

Enlarge / Curling, like the cURL project, requires precision and is underappreciated.

When you first start messing with the command line, it can feel like there's an impermeable wall between the local space you're messing around in and the greater Internet. On your side, you've got your commands and files, and beyond the wall, there are servers, images, APIs, webpages, and more bits of useful, ever-changing data. One of the most popular ways through that wall has been cURL, or "client URL," which turns 25 this month.

The cURL tool started as a way for programmer Daniel Stenberg to let Internet Chat Relay users quickly fetch currency exchange rates while still inside their chat window. As detailed in an archived history of the project , it was originally built off an existing command-line tool, httpget, built by Rafael Sagula. A 1.0 version was released in 1997, then changed names to urlget by 2.0, as it had added in GOPHER, FTP, and other protocols. By 1998, the tool could upload as well as download, and so version 4.0 was named cURL.

Over the next few years, cURL grew to encompass nearly every Internet protocol, work with certificates and encryption, offer bindings for more than 50 languages, and be included in most Linux distributions and other systems. The cURL project now encompasses both the command-line command itself and the libcurl library. In 2020, the project's history estimated the command and library had been installed in more than 10 billion instances worldwide.

Read 2 remaining paragraphs | Comments

Enlarge / A special 100th-version splash page appears on the first launch of a new Firefox installation. (credit: Samuel Axon)

Firefox released its 100th update, and some fanfare accompanied the release on Mozilla's blog about the web browser. Firefox 100 is available this week for both desktop and mobile versions.

To celebrate, Mozilla says it will be regularly sharing fan art inspired by Firefox throughout May. But while that 100 number carries some symbolic weight, the update itself isn't particularly monumental.

On the desktop, subtitles and captions are now supported in Firefox's picture-in-picture mode for videos. Three key websites officially support subtitles and captions in PIP: YouTube, Netflix, and Amazon Prime Video. Plus, the feature works on websites that support the WebVTT standard, like Twitter.

Read 4 remaining paragraphs | Comments

Enlarge (credit: Microsoft)

A couple of years ago, Microsoft reformulated its Edge web browser with a backend based on Google's Chromium codebase. Since then, the company has tried to make Edge stand out primarily by adding on extra features, mostly related to privacy, security, and online shopping.

One interesting new experimental feature that could be coming to Edge soon is a Cloudflare-powered VPN feature, according to a support document published last week. A VPN (or virtual private network) provides an encrypted tunnel for all of your network traffic, shielding it from the view of other devices on the same network.

Using the VPN service, dubbed the "Microsoft Edge Secure Network," requires you to be signed in with a Microsoft account, just like cross-device syncing of bookmarks and extensions and plenty of other features. It provides up to 1GB of data per month, with no option to get more data if you want or need it—Edge will track your data usage and let you know when you're getting close to your limit.

Read 3 remaining paragraphs | Comments

Bonjour à tous ! Savez-vous comment marche le mécanisme de la confiance dans une page web reçue avec HTTPS ? Petit tour rapide et présentation de Let's Encrypt. Si vous êtes un lecteur régulier du site, vous savez que le chiffrement de bout en bout est un dada chez moi, plutôt que le chiffrement poi...

Bonjour à tous !

Savez-vous comment marche le mécanisme de la confiance dans une page web reçue avec HTTPS ? Petit tour rapide et présentation de Let's Encrypt.

Si vous êtes un lecteur régulier du site, vous savez que le chiffrement de bout en bout est un dada chez moi, plutôt que le chiffrement point-à-point. On n'a pas encore fait de glossaire, donc je vais le réexpliquer à cette occasion, mais on finira par se référer à un petit manuel de bases. Donc si vous connaissez, vous pouvez zaper la partie 0 qui suit.

Chiffrement de bout en bout vs chiffrement point à point.

C'est assez simple :

• le chiffrement de bout en bout signifie que votre ordinateur chiffre avec la clef de votre correspondant, et par conséquent sur le réseau, le message est toujours chiffré ;
• le chiffrement point à point est appliqué entre vous et votre pair direct, puis (éventuellement) votre pair chiffre avec son pair, etc. jusqu'à destination, le message peut donc :
  • traverser un bout du réseau sans chiffrement ;
  • être lu par tous les pairs qui ont acheminé le message.
  • En comparaison, c'est comme si une lettre à La Poste était lu par tous ceux qui l'ont en main, et que de temps en temps le service de poste était négligent, et laissait à tous la possibilité de lire la lettre.

Sur internet vous utilisez les deux :

• le mail utilise le chiffrment point à point (sur lequel vous pouvez rajouter du chiffrement de bout en bout avec GPG/PGP) ;
• parler HTTPS avec un serveur permet de récupérer une page qui sera chiffrée entre vous et le serveur, donc d'un bout du réseau à l'autre.

Comment fonctionne le HTTPS ?

HTTP vs HTTPS, méthode de chiffement

HTTP est un protocole qui permet de récupérer des pages web. Exemples de ce qu'on peut "dire en HTTP" :

• quand on est le client :
  • donne moi la page à cette URL ;
• quand on est le serveur :
  • la page que tu m'as demandé, je l'ai, la voici ;
  • la page que tu m'as demandé, je l'ai, mais attends un peu, je suis surbooké, là (schématiquement) ;
  • la page que tu m'as demandé, bah elle existe pas (404) ;
  • ce que tu demandes n'est pas ici, va voir ailleurs (301) ;
  • j'ai pas compris ce que tu m'as demandé (400) ;
  • ce que tu fais-là, tu n'en as pas le droit (403) ;
  • le serveur est en panne (503)...

Et beaucoup d'autres. HTTPS n'est que l'utilisation d'une couche de chiffrement (SSL/TLS) pour chiffrer les données :

• la requête (pas celles initiant le chiffrement) ;
• les données échangées par la suite.

Pour visualiser la couche de chiffrement, on peut se représenter un tunnel entre le client et le serveur dans lequel la donnée passe. Personne ne peut accéder à l'intérieur du tunnel parce qu'il est solide, et le tunnel a une entrée (le client) et une sortie (le serveur).

Confiance de HTTPS

Lorsqu'Alice va demander la page web de Bob en HTTPS, que va-t-il se passer ?

• Le client A (son navigateur web Firefox) va faire une requête vers un serveur B
• B qui va indiquer qu'il sait parler HTTPS ;
• A va interroger B ;
• B va répondre, et s'il a la page, la transmettre.

Tout ça s'est fait automatiquement. Voyons un peu l'architecture de chiffrement mise en place ici. Il s'agit d'une infrastructure clef publique/clef privée + autorité de confiance :

• A va obtenir via le réseau la clef publique de B.
• Le navigateur web de A va vérifier que la clef est valide, c'est à dire qu'il s'agit bien de la bonne clef (et pas celle d'un attaquant) et qu'elle est toujours valide (par mesure de sécurité, les clefs ont une durée de validité, d'un an en général).
• A va chiffrer ses messages pour B avec la clef publique de B.
• B déchiffre ses messages avec sa clef privée.

Ainsi, la confiance que l'on a dans HTTPS dépend de deux facteurs :

• comment le navigateur reconnait qu'un certificat est valide ;
• la qualité du chiffrement, ie les algorithmes utilisés (RC4 : mauvais, AES-256 très bon, à ce jour).

On ne parlera pas plus des algorithmes ici, à la place on se concentrera sur comment le navigateur a décidé de reconnaître un certificat, ou de l'invalider.

Réseau de confiance de l'architecture X509

Le problème de fond, c'est de reconnaître la validité d'une clef de chiffrement (publique) pouvant changer fréquemment obtenue via internet.

On utilise ce qu'on appelle un pair de confiance. Si un certificat est signé par un pair de confiance, alors le certificat est considéré comme valide. Le pair de confiance dans l'architecture X509 s'appelle une autorité de certification (AC, parce que j'ai pas envie de le réécrire ;) ). Par défaut Firefox fait donc confiance à un certaint nombre d'AC.

Ainsi lorsqu'une clef publique arrive depuis internet :

• si le certificat est signé par une AC, il est valide (sauf cas exceptionnel où l'utilisateur a interdit le certificat) ;
• si le certificat n'est pas signé par une AC, mais est accepté par l'utilisateur, il est valide ;
• le reste poubelle, la connexion est terminée.

Dans les AC vous en connaissez peut-être quelques unes dont Thawte, VeriSign, GoDaddy, CA-Cert, Gandi, Google (eh oui, il font ça aussi), et depuis peu Let's Encrypt.

Mais la chaîne de confiance n'est pas complète. Comment savoir quelles sont les entités reconnues, comment en rajouter sans mettre à jour tous les navigateurs ?

Eh bien à la base de la création de X509, on a généré une clef c0, et une clef c1, on a signé la clef c1 avec la clef c0 et découpé c0 en plusieurs (4 ?) parties qu'on a dispachées dans des coffres-forts. On fait donc en sorte que la clef 0 soit reconnue, et on signe les AC avec la clef c1. Les entités créent leur clef c_entite (plusieurs en fait), qui est valide, puisque signée par c1, elle-même valide puisque signée par c0.

Récapitulons. On fait confiance à c0. c0 signe c1, de telle sorte que :

• c1 puisse signer des certificats ;
• c1 puisse signer des AC ;

On signe les AC, qui créent leur clefs, qui sont signées par c1 de telle sorte que :

• elles puissent signer des certificats ;
• éventuellement elles puissent signer d'autres AC.

Ainsi, la chaîne de confiance est une hiérarchie. Faire confiance à c0 permet/implique a priori de faire confiance à beaucoup de gens (on peut cependant demander à Firefox de ne pas accepter un certificat valide).

Subtilité de X509, résilience

Vous avez peut-être remarqué que c0 ne sert qu'à signer c1, puis on demande au navigateur de reconnaître c0, puis on signe avec c1.

Vous vous demandez peut être pourquoi... Imaginons que c0 = c1 = c$latex \alpha $, c'est à dire qu'au début de la chaîne de confiance il y ait non pas deux mais une seule clef c$latex \alpha $.

Un problème se pose, et a pas mal de répercussions :

Si la clef $latex \alpha $ est perdue alors toute la sécurité de l'architecture X509 s'effondre.

• Dans le cas où on n'a qu'une clef c$latex \alpha $, on ne peut rien faire.
• Dans le cas ou on a c0 et c1, et c1 est perdue (on suppose que c0 n'est pas perdue, elle sous clef, éparpillée sur le globe), on révoque c1 à l'aide de c0, et on regénère une clef c1'. Ça permet notamment de pouvoir rapidement recréer un environnement de confiance, et de ne pas avoir besoin de rediffuser la clef à toutes les machines.

Let's Encrypt

Alors pourquoi est-ce que je vous rabats les oreilles avec tout ça ? Eh bien pour deux raisons :

• d'abord pour que vous sachiez quelle confiance accorder dans des connexions HTTPS ;
• ensuite pour vous parler spécialement d'une AC : Let's Encrypt.

Vous l'avez compris, il y a beaucoup d'enjeux concernant une AC. La confiance qu'on a, la qualité de son travail, de la façon dont elle sécurise ses données pour ne pas perdre sa clef et servir de vecteur d'attaque, etc. Il y a d'autres enjeux dont la possibilité pour tous de chiffrer facilement, en effet les certificats ne sont pas gratuits, sauf certains de CA-Cert, et de Gandi.

C'est pourquoi Mozilla Cisco l'EFF et d'autres se sont unis pour créer une AC dont le but serit de permettre à tous de pratiquer le chiffrement à tour de bras. Et voilà qui est fait.

Depuis le 19 octobre 2015 les certificats de Let's Encrypt sont de confiance par défaut dans les versions récentes de Firefox (probablement Chrome/Chromium, Microsoft Edge, et Safari).

Let's Encrypt va donc pouvoir se mettre à un rythme de croisière de signatures de certificats d'ici très peu de temps.

Bon chiffrement à tous et bonne journée !

Motius

Bonjour à tous ! Savez-vous comment marche le mécanisme de la confiance dans une page web reçue avec HTTPS ? Petit tour rapide et présentation de Let's Encrypt. Si vous êtes un lecteur régulier du site, vous savez que le chiffrement de bout en bout est un dada chez moi, plutôt que le chiffrement poi...

Bonjour à tous !

Savez-vous comment marche le mécanisme de la confiance dans une page web reçue avec HTTPS ? Petit tour rapide et présentation de Let's Encrypt.

Si vous êtes un lecteur régulier du site, vous savez que le chiffrement de bout en bout est un dada chez moi, plutôt que le chiffrement point-à-point. On n'a pas encore fait de glossaire, donc je vais le réexpliquer à cette occasion, mais on finira par se référer à un petit manuel de bases. Donc si vous connaissez, vous pouvez zaper la partie 0 qui suit.

Chiffrement de bout en bout vs chiffrement point à point.

C'est assez simple :

• le chiffrement de bout en bout signifie que votre ordinateur chiffre avec la clef de votre correspondant, et par conséquent sur le réseau, le message est toujours chiffré ;
• le chiffrement point à point est appliqué entre vous et votre pair direct, puis (éventuellement) votre pair chiffre avec son pair, etc. jusqu'à destination, le message peut donc :
  • traverser un bout du réseau sans chiffrement ;
  • être lu par tous les pairs qui ont acheminé le message.
  • En comparaison, c'est comme si une lettre à La Poste était lu par tous ceux qui l'ont en main, et que de temps en temps le service de poste était négligent, et laissait à tous la possibilité de lire la lettre.

Sur internet vous utilisez les deux :

• le mail utilise le chiffrment point à point (sur lequel vous pouvez rajouter du chiffrement de bout en bout avec GPG/PGP) ;
• parler HTTPS avec un serveur permet de récupérer une page qui sera chiffrée entre vous et le serveur, donc d'un bout du réseau à l'autre.

Comment fonctionne le HTTPS ?

HTTP vs HTTPS, méthode de chiffement

HTTP est un protocole qui permet de récupérer des pages web. Exemples de ce qu'on peut "dire en HTTP" :

• quand on est le client :
  • donne moi la page à cette URL ;
• quand on est le serveur :
  • la page que tu m'as demandé, je l'ai, la voici ;
  • la page que tu m'as demandé, je l'ai, mais attends un peu, je suis surbooké, là (schématiquement) ;
  • la page que tu m'as demandé, bah elle existe pas (404) ;
  • ce que tu demandes n'est pas ici, va voir ailleurs (301) ;
  • j'ai pas compris ce que tu m'as demandé (400) ;
  • ce que tu fais-là, tu n'en as pas le droit (403) ;
  • le serveur est en panne (503)...

Et beaucoup d'autres. HTTPS n'est que l'utilisation d'une couche de chiffrement (SSL/TLS) pour chiffrer les données :

• la requête (pas celles initiant le chiffrement) ;
• les données échangées par la suite.

Pour visualiser la couche de chiffrement, on peut se représenter un tunnel entre le client et le serveur dans lequel la donnée passe. Personne ne peut accéder à l'intérieur du tunnel parce qu'il est solide, et le tunnel a une entrée (le client) et une sortie (le serveur).

Confiance de HTTPS

Lorsqu'Alice va demander la page web de Bob en HTTPS, que va-t-il se passer ?

• Le client A (son navigateur web Firefox) va faire une requête vers un serveur B
• B qui va indiquer qu'il sait parler HTTPS ;
• A va interroger B ;
• B va répondre, et s'il a la page, la transmettre.

Tout ça s'est fait automatiquement. Voyons un peu l'architecture de chiffrement mise en place ici. Il s'agit d'une infrastructure clef publique/clef privée + autorité de confiance :

• A va obtenir via le réseau la clef publique de B.
• Le navigateur web de A va vérifier que la clef est valide, c'est à dire qu'il s'agit bien de la bonne clef (et pas celle d'un attaquant) et qu'elle est toujours valide (par mesure de sécurité, les clefs ont une durée de validité, d'un an en général).
• A va chiffrer ses messages pour B avec la clef publique de B.
• B déchiffre ses messages avec sa clef privée.

Ainsi, la confiance que l'on a dans HTTPS dépend de deux facteurs :

• comment le navigateur reconnait qu'un certificat est valide ;
• la qualité du chiffrement, ie les algorithmes utilisés (RC4 : mauvais, AES-256 très bon, à ce jour).

On ne parlera pas plus des algorithmes ici, à la place on se concentrera sur comment le navigateur a décidé de reconnaître un certificat, ou de l'invalider.

Réseau de confiance de l'architecture X509

Le problème de fond, c'est de reconnaître la validité d'une clef de chiffrement (publique) pouvant changer fréquemment obtenue via internet.

On utilise ce qu'on appelle un pair de confiance. Si un certificat est signé par un pair de confiance, alors le certificat est considéré comme valide. Le pair de confiance dans l'architecture X509 s'appelle une autorité de certification (AC, parce que j'ai pas envie de le réécrire ;) ). Par défaut Firefox fait donc confiance à un certaint nombre d'AC.

Ainsi lorsqu'une clef publique arrive depuis internet :

• si le certificat est signé par une AC, il est valide (sauf cas exceptionnel où l'utilisateur a interdit le certificat) ;
• si le certificat n'est pas signé par une AC, mais est accepté par l'utilisateur, il est valide ;
• le reste poubelle, la connexion est terminée.

Dans les AC vous en connaissez peut-être quelques unes dont Thawte, VeriSign, GoDaddy, CA-Cert, Gandi, Google (eh oui, il font ça aussi), et depuis peu Let's Encrypt.

Mais la chaîne de confiance n'est pas complète. Comment savoir quelles sont les entités reconnues, comment en rajouter sans mettre à jour tous les navigateurs ?

Eh bien à la base de la création de X509, on a généré une clef c0, et une clef c1, on a signé la clef c1 avec la clef c0 et découpé c0 en plusieurs (4 ?) parties qu'on a dispachées dans des coffres-forts. On fait donc en sorte que la clef 0 soit reconnue, et on signe les AC avec la clef c1. Les entités créent leur clef c_entite (plusieurs en fait), qui est valide, puisque signée par c1, elle-même valide puisque signée par c0.

Récapitulons. On fait confiance à c0. c0 signe c1, de telle sorte que :

• c1 puisse signer des certificats ;
• c1 puisse signer des AC ;

On signe les AC, qui créent leur clefs, qui sont signées par c1 de telle sorte que :

• elles puissent signer des certificats ;
• éventuellement elles puissent signer d'autres AC.

Ainsi, la chaîne de confiance est une hiérarchie. Faire confiance à c0 permet/implique a priori de faire confiance à beaucoup de gens (on peut cependant demander à Firefox de ne pas accepter un certificat valide).

Subtilité de X509, résilience

Vous avez peut-être remarqué que c0 ne sert qu'à signer c1, puis on demande au navigateur de reconnaître c0, puis on signe avec c1.

Vous vous demandez peut être pourquoi... Imaginons que c0 = c1 = c$latex \alpha $, c'est à dire qu'au début de la chaîne de confiance il y ait non pas deux mais une seule clef c$latex \alpha $.

Un problème se pose, et a pas mal de répercussions :

Si la clef $latex \alpha $ est perdue alors toute la sécurité de l'architecture X509 s'effondre.

• Dans le cas où on n'a qu'une clef c$latex \alpha $, on ne peut rien faire.
• Dans le cas ou on a c0 et c1, et c1 est perdue (on suppose que c0 n'est pas perdue, elle sous clef, éparpillée sur le globe), on révoque c1 à l'aide de c0, et on regénère une clef c1'. Ça permet notamment de pouvoir rapidement recréer un environnement de confiance, et de ne pas avoir besoin de rediffuser la clef à toutes les machines.

Let's Encrypt

Alors pourquoi est-ce que je vous rabats les oreilles avec tout ça ? Eh bien pour deux raisons :

• d'abord pour que vous sachiez quelle confiance accorder dans des connexions HTTPS ;
• ensuite pour vous parler spécialement d'une AC : Let's Encrypt.

Vous l'avez compris, il y a beaucoup d'enjeux concernant une AC. La confiance qu'on a, la qualité de son travail, de la façon dont elle sécurise ses données pour ne pas perdre sa clef et servir de vecteur d'attaque, etc. Il y a d'autres enjeux dont la possibilité pour tous de chiffrer facilement, en effet les certificats ne sont pas gratuits, sauf certains de CA-Cert, et de Gandi.

C'est pourquoi Mozilla Cisco l'EFF et d'autres se sont unis pour créer une AC dont le but serit de permettre à tous de pratiquer le chiffrement à tour de bras. Et voilà qui est fait.

Depuis le 19 octobre 2015 les certificats de Let's Encrypt sont de confiance par défaut dans les versions récentes de Firefox (probablement Chrome/Chromium, Microsoft Edge, et Safari).

Let's Encrypt va donc pouvoir se mettre à un rythme de croisière de signatures de certificats d'ici très peu de temps.

Bon chiffrement à tous et bonne journée !

Motius