On 2014-04-09 18:56:43 +0200, andre_deb...@numericable.fr wrote: > Pour un serveur Web Apache en accès "https" : > globalement, faut-il modifier les certificats ? > (même si aucune clé n'a été transmis par https).
Oui. Mais un pirate pourra toujours utiliser les anciennes clés, tant que tout le système de révocation n'aura pas été corrigé. Voilà ce que j'ai appris tout à l'heure suite à un rapport de bug: https://news.ycombinator.com/item?id=7556909 > Et sous Postfix, plus particulièrment "dovecot" qui a un certificat ? Probablement. Le site heartbleed.com dit: "heartbeat request can be sent and is replied to during the handshake phase of the protocol". Bref, même si le serveur POP3/IMAP a un seul utilisateur, n'importe qui peut exploiter le bug. -- Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409211559.ga4...@xvii.vinc17.org
