Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 18:33, Denis Fondras  a écrit :
> Il faut definir 'securisee'. Jusqu'a TLS1.3, NULL etait une suite
> cryptographique valide...

Mais aucun navigateur ne la supportait.

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Denis Fondras]

On Sat, Nov 07, 2020 at 05:21:58PM +0100, Jonathan Leroy | Inikup via frnog 
wrote:
> Tu peux te connecter au serveur exemple.com qui va te servir un
> certificat valide pour exemple.com : la connexion sera sécurisée, mais
> absolument rien ne te dit que le serveur n'a pas été compromis et ne
> va pas te servir une page de phishing, par exemple.
> 

Il faut definir 'securisee'. Jusqu'a TLS1.3, NULL etait une suite
cryptographique valide...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 16:50, Florent B.  a écrit :
> Euhhh les fameux certificats dont on parle ici ne servent QUE à
> l'authentification ! C'est à dire à s'assurer qu'on parle au bon
> serveur. Il n'y a pas du tout besoin de ce système de certificat pour
> chiffrer un échange (le chiffrement se fait de manière symétrique avec
> une clé partagée). Ca ne sert à rien de chiffrer un échange si c'est
> pour parler à un serveur compromis.

Tu peux te connecter au serveur exemple.com qui va te servir un
certificat valide pour exemple.com : la connexion sera sécurisée, mais
absolument rien ne te dit que le serveur n'a pas été compromis et ne
va pas te servir une page de phishing, par exemple.

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 16:15, Daniel via frnog  a écrit :
> Tu crois ? De mes smartphones/tablettes Android, tous deux haut de
> gamme, que je gardent plus que 3 ans, jamais eu plus de 4 màj depuis
> leur achat et encore moins d'upgrade de version Android. Une exception:
> one plus.

Sur du Apple ou Google, oui.
Sur des constructeurs autres c'est très variable, mais ça change avec
les nouvelles règles de certification d'Android qui obligent les
constructeurs à découpler les MAJ de l'OS de celles de leur surcouche.


-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 16:16, Denis Fondras  a écrit :
> Pas completement neutre et pas completement Europeen: 
> https://www.buypass.com/ssl/products/acme

Je n'ai pas eu l'occasion de tester, mais ça à l'air pas mal. Ils ne
fournissent pas de wildcard par contre.

Il y a aussi ZeroSSL (allemand), mais pas de SAN sans paiement :
https://zerossl.com/


--
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Denis Fondras]

On Sat, Nov 07, 2020 at 09:55:31AM -0500, Florent CARRÉ wrote:
> On n'est pas un vendredi mais sérieusement:  où est la f@#*#@# CA
> alternative Suisse ou autre pays neutre?
> 

Pas completement neutre et pas completement Europeen: 
https://www.buypass.com/ssl/products/acme


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Daniel via frnog]

Le 07/11/2020 à 15:52, Jonathan Leroy | Inikup via frnog a écrit :

Le sam. 7 nov. 2020 à 15:49, Daniel via frnog  a écrit :

Quelle différence avec les moins de 50 ans qui changent de téléphone
tous les ans (prenons même deux ans ou trois ans) ? Si je prends un prix
minimum de 600 EUR pour un début de haut de gamme, cela fait 200 EUR/an
si je le garde 3 ans. C'est plus rentable ?

Ah mais les deux sont critiquables. :)
Mais d'un point de vue sécu, le téléphone à 600 € sera mis à jour, lui.,
Tu crois ? De mes smartphones/tablettes Android, tous deux haut de 
gamme, que je gardent plus que 3 ans, jamais eu plus de 4 màj depuis 
leur achat et encore moins d'upgrade de version Android. Une exception: 
one plus.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Florent CARRÉ]

Jonathan, je fais parti des personnes qui en changent seulement quand on le
doit ou qu'il y a enfin une fonctionnalité qu'on a besoin. L'ancien sert de
device de test/dev.

Un iPhone est maintenu 5 ans voir même plus longtemps, le prix remis sur le
nombre d'années de support est effectivement rentable même pour le petit SE
qui dépasse la rentabilité prix/an de n'importe quel Android.

---

David, je me suis loupé, mes culpa.
Faut que j'arrête de jongler entre les mails trop rapidement.

On n'est pas un vendredi mais sérieusement:  où est la f@#*#@# CA
alternative Suisse ou autre pays neutre?

Letsencrypt c'est USA alors Australie (CAcert) ou USA, on est dans le même
bateau en partant de ton point de vue.

Jonathan, on est d'accord avoir une alternative viable à letsencrypt serait
cool mais bon, quitte à faire du lobbying, autant le faire pour le TLSA.

Les personnes pour une CA alternative, tu ne les auras pas parce qu'elle
bosse déjà ailleurs et dans ce cas faut sur-enchérir or en France on n'est
loin de cette mentalité.

---

Le problème des certificats à l'heure actuelle est la validation des
informations et qu'on puisse facilement le faire. L'utilisateur lambda s'en
fou et c'est triste, qu'il arrête de venir pleurer.

De mon côté, j'ai une liste des infos des certificats que je croise/vois
sur le réseau et qui a un lock quand il y a soudainement un gros changement
autre que la date d'issue/expire, mais au final, la majorité est uniquement
du CloudFlare & co parce que personne pense à mettre son certificat au
niveau du CDN.

On Sat, Nov 7, 2020, 09:35 Jonathan Leroy | Inikup via frnog <
frnog@frnog.org> wrote:

> Le sam. 7 nov. 2020 à 11:05, Archange  a écrit :
> > Exactement. Le problème, ce sont les constructeurs qui n’assurent pas le
> > suivi de leurs produits sur le long terme, allant de 0 jours à 2/3 ans
> > selon les marques. Et même quand le suivi est assuré, il est
> > généralement partiel. Évidemment, leur but pour la quasi-totalité
> > d’entre elles est que les gens rachètent un téléphone pour avoir le
> > nouveau système, pas de dépenser des sous pour continuer le support de
> > ceux qui ont déjà payé.
>
> Pour moi le grand coupable de cette histoire reste le consommateur.
> ¯\_(ツ)_/¯
> Quand tu achètes un téléphone à moins de 100 €, il ne faut pas
> t'attendre à ce que le constructeur le supporte pendant 10 ans.
>
> Je vois autour de moi pas mal de gens, notamment > 50 ans pour qui
> "C'est juste un téléphone, je l'utilise que pour appeler". Ça achète
> du téléphone bas de gamme à 50-60 €, puis ça le change chaque année
> parce que "c'est lent" / "ça déconne".
> Pas sur que ce soit rentable sur le long terme (et ne parlons même pas
> d'écologie).
>
> --
> Jonathan Leroy
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 15:49, Daniel via frnog  a écrit :
> Quelle différence avec les moins de 50 ans qui changent de téléphone
> tous les ans (prenons même deux ans ou trois ans) ? Si je prends un prix
> minimum de 600 EUR pour un début de haut de gamme, cela fait 200 EUR/an
> si je le garde 3 ans. C'est plus rentable ?

Ah mais les deux sont critiquables. :)
Mais d'un point de vue sécu, le téléphone à 600 € sera mis à jour, lui.


-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 15:35, Florent CARRÉ  a écrit :
> Autre élément, rappelle toi comment est construit internet, le fait d'avoir 
> des CA alternative, rejoint le fondement même des interconnexions et du 
> fonctionnement d'internet : la diversité.

Ah mais je suis tout à fait d'accord sur le fait qu'il nous faudrait
un second Let's Encrypt, idéalement européen pour plus de diversité.

Le souci c'est que Let's Encrypt a besoin de 3 millions d'USD par an
pour tourner. Il faut des gens compétents techniquement,
administrativement, avec assez de connaissance en crypto, de la
"politique" du milieu des AC et des root programs des navigateurs...
ça ne court pas les rues. :)

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Daniel via frnog]

Bonjour

Le 07/11/2020 à 15:34, Jonathan Leroy | Inikup via frnog a écrit :

Le sam. 7 nov. 2020 à 11:05, Archange  a écrit :

Exactement. Le problème, ce sont les constructeurs qui n’assurent pas le
suivi de leurs produits sur le long terme, allant de 0 jours à 2/3 ans
selon les marques. Et même quand le suivi est assuré, il est
généralement partiel. Évidemment, leur but pour la quasi-totalité
d’entre elles est que les gens rachètent un téléphone pour avoir le
nouveau système, pas de dépenser des sous pour continuer le support de
ceux qui ont déjà payé.

Pour moi le grand coupable de cette histoire reste le consommateur. ¯\_(ツ)_/¯
Quand tu achètes un téléphone à moins de 100 €, il ne faut pas
t'attendre à ce que le constructeur le supporte pendant 10 ans.

Je vois autour de moi pas mal de gens, notamment > 50 ans pour qui
"C'est juste un téléphone, je l'utilise que pour appeler". Ça achète
du téléphone bas de gamme à 50-60 €, puis ça le change chaque année
parce que "c'est lent" / "ça déconne".
Pas sur que ce soit rentable sur le long terme (et ne parlons même pas
d'écologie).
Quelle différence avec les moins de 50 ans qui changent de téléphone 
tous les ans (prenons même deux ans ou trois ans) ? Si je prends un prix 
minimum de 600 EUR pour un début de haut de gamme, cela fait 200 EUR/an 
si je le garde 3 ans. C'est plus rentable ?


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 14:34, Florent CARRÉ  a écrit :
> Quand je parlais des certificats payants en terme de sécurité, je voulais
> surtout le dire sur la validation/certification de la personne ou
> entreprise cliente.
>
> Tu prends les infos venant de letsencrypt, tu ne sais rien, il n'y a rien
> du tout.
> Tu prends un DV ou mieux un OV et on voit la différence.

Faux.
Let's Encrypt *c'est* du DV. Et avec des process bien mieux réalisés
que chez la plupart des AC commerciales, d'ailleurs.

OV et EV n'apportent rien dans la pratique, si ce n'est la mention des
infos du titulaire dans le certificat. Sauf que le rôle d'un
certificat c'est de dire "la connexion entre vous et X est chiffrée",
pas "J'vous jure, vous parlez bien avec X".
C'est pour ça que l'EV est mort et que l'OV ne représente plus rien en
termes de % de certificats émis par les AC.


> Se rappeler du "warranty" quand on prend un certificat payant, cela
> n'existe pas dans letsencrypt.

Et c'est tant mieux, voir ma réponse précédente.

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Florent CARRÉ]

Jonathan, CAcert aurait été le bon exemple si tout l'engouement qu'a eu
letsencrypt avait été porté à CAcert pour être mis à niveau et on aurait eu
la première CA alternative européenne.

L'utilité des CA non reconnue, elles sont internes et parfois, on ne peut
pas injecter la CA sur le device, TLSA est donc une alternative
intéressante.

Autre élément, rappelle toi comment est construit internet, le fait d'avoir
des CA alternative, rejoint le fondement même des interconnexions et du
fonctionnement d'internet : la diversité.

On Sat, Nov 7, 2020, 09:27 Jonathan Leroy | Inikup via frnog <
frnog@frnog.org> wrote:

> Le sam. 7 nov. 2020 à 03:48, Florent CARRÉ  a écrit :
> > Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
> > centaines de milliers de dollars, il faut vraiment passer sur un
> certificat
> > avec une vraie assurance, c'est un investissement largement gagnant en
> cas
> > de besoin.
>
> Nope.
>
> Les certificats émis par les AC payantes sont techniquement
> identiques, la seule différence est la fameuse "assurance" qui ne
> s'applique jamais dans les faits.
> J'ai expliqué pourquoi il y a quelques années sur FRsAG :
> https://www.frsag.org/pipermail/frsag/2017-September/008821.html.
>
>
> > PS: look CAcert (http://www.cacert.org/) que seulement certains
> > connaissent, on avait nos certificats gratuits bien avant l'existence de
> > letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> > validation de la personne est obligatoire.
>
> Des certificats émis par une AC qui n'est pas reconnue par les
> navigateurs n'ont absolument aucun intérêt.
> Et dans le cas de CAcert, je ne sais pas ce qu'il en est aujourd'hui,
> mais il y a quelques années on était loin du respect des bonnes règles
> qui s'imposent à toutes les AC reconnues.
>
> --
> Jonathan Leroy
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 11:05, Archange  a écrit :
> Exactement. Le problème, ce sont les constructeurs qui n’assurent pas le
> suivi de leurs produits sur le long terme, allant de 0 jours à 2/3 ans
> selon les marques. Et même quand le suivi est assuré, il est
> généralement partiel. Évidemment, leur but pour la quasi-totalité
> d’entre elles est que les gens rachètent un téléphone pour avoir le
> nouveau système, pas de dépenser des sous pour continuer le support de
> ceux qui ont déjà payé.

Pour moi le grand coupable de cette histoire reste le consommateur. ¯\_(ツ)_/¯
Quand tu achètes un téléphone à moins de 100 €, il ne faut pas
t'attendre à ce que le constructeur le supporte pendant 10 ans.

Je vois autour de moi pas mal de gens, notamment > 50 ans pour qui
"C'est juste un téléphone, je l'utilise que pour appeler". Ça achète
du téléphone bas de gamme à 50-60 €, puis ça le change chaque année
parce que "c'est lent" / "ça déconne".
Pas sur que ce soit rentable sur le long terme (et ne parlons même pas
d'écologie).

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Thomas Gaudin]

Ça apporte quoi un certificat EV exactement ? Quelqu'un ici vérifie les
informations qui sont dedans ?
Qui tique et change son comportement quand il remarque qu'un site n'utilise
*pas* de certificat EV ?
Sachant que les navigateurs ne font plus de différence visuelle (ici
 et là
),
que les gros sites ne les utilisent
plus, que les CA ne génèrent pas des certificats avec des bonnes valeurs (
ici ) et que
je peux faire valider un
certificat EV pour mon entreprise "Stripe, Inc" (dans cet article

déjà lié).

Même question pour les "assurances" sur les certificats : ça sert à quoi ?
Apparemment pas grand chose

,
et personne n'a l'air de s'en être servi.

Le sam. 7 nov. 2020 à 14:33, Florent CARRÉ  a écrit :

> Quand je parlais des certificats payants en terme de sécurité, je voulais
> surtout le dire sur la validation/certification de la personne ou
> entreprise cliente.
>
> Tu prends les infos venant de letsencrypt, tu ne sais rien, il n'y a rien
> du tout.
> Tu prends un DV ou mieux un OV et on voit la différence.
>
> Se rappeler du "warranty" quand on prend un certificat payant, cela
> n'existe pas dans letsencrypt.
>
> Je n'ai pas encore compris pourquoi le hash n'était pas encore en argon2
> sur les tous derniers mais bon, c'est perso.
>
> Quand le nist aura terminé sa partie post quantum, on aura peut-être
> finalement dans 15 ans, le premier certificat post quantum cryptography de
> déployable.
>
> En client acme, j'ai utilisé dehydrated, ça fonctionne bien surtout pour
> les hooks.
>
> Ensuite, au niveau DNS, on a TLSA (RFC 6698) qui permet de se passer d'une
> CA mais bon, pas déployé sur tous les browsers.
>
> La solution serait qu'un nixos mobile (https://mobile.nixos.org/index.html
> )
> arrive par exemple sur plus de modèles compatibles (
> https://mobile.nixos.org/devices/index.html).
>
> Pour l'IOT, je sais que c'est la chose qui va faire le plus de mal mais ils
> ont une parade: lancer un container et l'actualiser de temps en temps voir
> jamais vu comment sont les constructeurs: https://youtu.be/w_6qsYWyDg0 ou
> mieux lors d'une question que j'avais eu dernièrement et qui commençait par
> "you have an IOT machine that is running a container…"
>
> On Sat, Nov 7, 2020, 03:44 Stéphane Rivière  wrote:
>
> > > Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
> > > centaines de milliers de dollars, il faut vraiment passer sur un
> > certificat
> > > avec une vraie assurance, c'est un investissement largement gagnant en
> > cas
> > > de besoin.
> >
> > Peut-être pour un gros site ecommerce. Surtout vrai si, comme là, LE a
> > un problème sur une plateforme et que ça va faire perdre de l'argent. De
> > toute façon, un cert, ça se change facilement.
> >
> > Pour le reste, le biz des certificats est un truc parfaitement malsain
> > et carrément moisi. Comment croire que la plupart de ces marchands de
> > petits fichiers ne sont pas maqués avec telle ou telle agence de sécu ?
> >
> > Comment croire que le niveau de chiffrement requis n'est pas explosé
> > depuis qu'il a été autorisé (i.e. on n'autorise pas le chiffrement à 128
> > bits si on n'est pas capable de déchiffrer ce niveau de chiffre).
> >
> > Bref, c'est de la touille qui a encore compliqué la glute. À la toute
> > fin, ça ne change rien, hormis protéger les transacs face à des hackers
> > michus.
> >
> > > PS: look CAcert (http://www.cacert.org/) que seulement certains
> > > connaissent, on avait nos certificats gratuits bien avant l'existence
> de
> > > letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> > > validation de la personne est obligatoire.
> >
> > CAcert, on a donné en son temps, c'était probablement le moins pire mais
> > incomparablement plus lourdeau que l'excellent Let's Encrypt.
> >
> > Ici on a dev un script (acmemgr.sh, on le trouve sur github) qui vient
> > au dessus de l'excellentissime acme.sh et c'est le bonheur tellement que
> > ça se fait oublier. Ca vaut le coup de regarder le readme pour voir si
> > ça peut aider. Pas mal de sysadmins l'utilisent.
> >
> > Il y a plein d'autres soluces tout aussi valables et velues, selon son
> > infra et ses goûts : l'écosystèmes LE est pléthorique.
> >
> > Mais dire que LE n'est pas sécurisé, etc, c'est du FUD. Il n'est pas
> > moins sécurisé que les autres. Il est probablement plus sécurisé que
> > certains et, en fin de compte, ça n'a pas d'importance :)
> >
> > --
> > Be Seeing You
> > Number Six
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du 

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Jonathan Leroy | Inikup via frnog]

Le sam. 7 nov. 2020 à 03:48, Florent CARRÉ  a écrit :
> Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
> centaines de milliers de dollars, il faut vraiment passer sur un certificat
> avec une vraie assurance, c'est un investissement largement gagnant en cas
> de besoin.

Nope.

Les certificats émis par les AC payantes sont techniquement
identiques, la seule différence est la fameuse "assurance" qui ne
s'applique jamais dans les faits.
J'ai expliqué pourquoi il y a quelques années sur FRsAG :
https://www.frsag.org/pipermail/frsag/2017-September/008821.html.


> PS: look CAcert (http://www.cacert.org/) que seulement certains
> connaissent, on avait nos certificats gratuits bien avant l'existence de
> letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> validation de la personne est obligatoire.

Des certificats émis par une AC qui n'est pas reconnue par les
navigateurs n'ont absolument aucun intérêt.
Et dans le cas de CAcert, je ne sais pas ce qu'il en est aujourd'hui,
mais il y a quelques années on était loin du respect des bonnes règles
qui s'imposent à toutes les AC reconnues.

--
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Stéphane Rivière]

Le 07/11/2020 à 14:33, Florent CARRÉ a écrit :
> Quand je parlais des certificats payants en terme de sécurité, je voulais
> surtout le dire sur la validation/certification de la personne ou
> entreprise cliente.

Pigé ! :)

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[OBConseil via frnog]

Le 07/11/2020 à 11:04, Archange a écrit :


En revanche, ils ne peuvent pas faire grand chose pour les smartphones
plus vieux où ça n’avait pas été prévu.


J'ai l'intime conviction qu'ils peuvent faire beaucoup plus que ça.

Le nombre de téléphones en android entre 4 et 7 est très très important 
et la plupart ne sont pas maintenus. On parle bien sur des constructeurs 
connu (samsung, huawei, xiaomi,...) mais aussi de très nombreux autres 
styles AGM, Crosscall, ... .


Or, tous ces téléphones qui ont accès au Playstore ont été validés par 
Google, leurs sources analysée et certifiées par Google.


Par ailleurs , Google hésite pas à bousculer tout un écosystème lorsque 
ça l'arrange (ex l'histoire des certificats RSA sous chrome), usant & 
abusant de leur position ultra dominante.


=> Ils pourraient très bien exiger des constructeurs de smartphone soit 
des mises à jour des anciens téléphones (sous peine de ne pas certifier 
les nouveaux) , soit à minima de libérer les sources (ou les packages 
binaires) requis ainsi que les clés pour déverrouiller les bootloader, 
de manière à laisser des projets libre style Lineage et bien d'autre 
s'emparer du problème (je peux comprendre que la charge de devoir 
maintenir 100 modèles de smartphone soit trop importante pour un petit 
intégrateur).
Bien sur, légalement c'est limite. Mais bon, les constructeurs de 
téléphone sont asiatiques, il n'y a pas d'alternative, et ce qu'ils 
veulent c'est vendre du téléphone neuf autant que possible.


A part Apple (qui , eux , maintiennent leurs appareils), actuellement ya 
pas trop d'alternative à Android comme Huawei est en train d'en faire 
l'expérience.


Je rêve sans doute, mais récemment le patron d'orange, sur France Inter, 
avait dit que dans le cadre de ses obligations pour la 5G & la peinture 
verte de son activité il lançait un service de "recyclage" & 
réutilisation de vieux smartphone. Comment il va faire avec 20K 
smarphone sous android 4/5/6/7 incapable de se connecter au web en 2021?


On a bien des boutiques au coin de la rue capable de changer une vitre 
cassé ou réinitialiser l'OS, je suppose que reflasher c'est à la portée 
des gens qui font ça :-)


(Reste à sécuriser le processus sous peine de se retrouver avec une 
flotte de téléphones zombie sur le réseau 3G 4G, et là c'est pas une 
mince affaire, j'en suis très conscient)


Julien



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Florent CARRÉ]

Quand je parlais des certificats payants en terme de sécurité, je voulais
surtout le dire sur la validation/certification de la personne ou
entreprise cliente.

Tu prends les infos venant de letsencrypt, tu ne sais rien, il n'y a rien
du tout.
Tu prends un DV ou mieux un OV et on voit la différence.

Se rappeler du "warranty" quand on prend un certificat payant, cela
n'existe pas dans letsencrypt.

Je n'ai pas encore compris pourquoi le hash n'était pas encore en argon2
sur les tous derniers mais bon, c'est perso.

Quand le nist aura terminé sa partie post quantum, on aura peut-être
finalement dans 15 ans, le premier certificat post quantum cryptography de
déployable.

En client acme, j'ai utilisé dehydrated, ça fonctionne bien surtout pour
les hooks.

Ensuite, au niveau DNS, on a TLSA (RFC 6698) qui permet de se passer d'une
CA mais bon, pas déployé sur tous les browsers.

La solution serait qu'un nixos mobile (https://mobile.nixos.org/index.html)
arrive par exemple sur plus de modèles compatibles (
https://mobile.nixos.org/devices/index.html).

Pour l'IOT, je sais que c'est la chose qui va faire le plus de mal mais ils
ont une parade: lancer un container et l'actualiser de temps en temps voir
jamais vu comment sont les constructeurs: https://youtu.be/w_6qsYWyDg0 ou
mieux lors d'une question que j'avais eu dernièrement et qui commençait par
"you have an IOT machine that is running a container…"

On Sat, Nov 7, 2020, 03:44 Stéphane Rivière  wrote:

> > Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
> > centaines de milliers de dollars, il faut vraiment passer sur un
> certificat
> > avec une vraie assurance, c'est un investissement largement gagnant en
> cas
> > de besoin.
>
> Peut-être pour un gros site ecommerce. Surtout vrai si, comme là, LE a
> un problème sur une plateforme et que ça va faire perdre de l'argent. De
> toute façon, un cert, ça se change facilement.
>
> Pour le reste, le biz des certificats est un truc parfaitement malsain
> et carrément moisi. Comment croire que la plupart de ces marchands de
> petits fichiers ne sont pas maqués avec telle ou telle agence de sécu ?
>
> Comment croire que le niveau de chiffrement requis n'est pas explosé
> depuis qu'il a été autorisé (i.e. on n'autorise pas le chiffrement à 128
> bits si on n'est pas capable de déchiffrer ce niveau de chiffre).
>
> Bref, c'est de la touille qui a encore compliqué la glute. À la toute
> fin, ça ne change rien, hormis protéger les transacs face à des hackers
> michus.
>
> > PS: look CAcert (http://www.cacert.org/) que seulement certains
> > connaissent, on avait nos certificats gratuits bien avant l'existence de
> > letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> > validation de la personne est obligatoire.
>
> CAcert, on a donné en son temps, c'était probablement le moins pire mais
> incomparablement plus lourdeau que l'excellent Let's Encrypt.
>
> Ici on a dev un script (acmemgr.sh, on le trouve sur github) qui vient
> au dessus de l'excellentissime acme.sh et c'est le bonheur tellement que
> ça se fait oublier. Ca vaut le coup de regarder le readme pour voir si
> ça peut aider. Pas mal de sysadmins l'utilisent.
>
> Il y a plein d'autres soluces tout aussi valables et velues, selon son
> infra et ses goûts : l'écosystèmes LE est pléthorique.
>
> Mais dire que LE n'est pas sécurisé, etc, c'est du FUD. Il n'est pas
> moins sécurisé que les autres. Il est probablement plus sécurisé que
> certains et, en fin de compte, ça n'a pas d'importance :)
>
> --
> Be Seeing You
> Number Six
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Stéphane Rivière]

> Mais dire que LE n'est pas sécurisé, etc, c'est du FUD. Il n'est pas
> moins sécurisé que les autres. Il est probablement plus sécurisé que
> certains et, en fin de compte, ça n'a pas d'importance :)

Quand j'évoquais ça, je songeais à la sécu des certs racines et de la
chaîne d'authent. Il y a eu des précédents, certains connus & d'autres pas.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Archange]

Le 07/11/2020 à 07:00, neo futur a écrit :
>> Android est connu pour avoir une politique d'update complètement déconnectée 
>> de la raison.
> certes
>
>> Faire un lobbying dessus, je trouve cela abusé comme chaque constructeur 
>> utilisant Android doit faire son job de suivi d'update.
>> Il faut arrêter de croire que c'est exclusivement Google…
> certes, mais google peut probablement regler une grande partie du
> probleme non ?

Oui et non. Ils l’ont fait en imposant d’abord que les constructeurs
fournissent les mises à jour pendant X temps pour avoir le droit aux
Play Services, et puis depuis Android 9, les mises à jour du système
doivent être découplées de la partie OEM. Donc en théorie n’importe quel
téléphone de n’importe quel constructeur initialement fourni avec cette
version au moins doit pouvoir installer des versions plus récentes sans
avoir à passer par le constructeur. En pratique ça n’est pas encore
aussi simple, surtout pour le grand public, mais ils continuent à
travailler cet aspect évidemment crucial.

En revanche, ils ne peuvent pas faire grand chose pour les smartphones
plus vieux où ça n’avait pas été prévu.

> qui  d autre ?
>
>> Xiaomi, Samsung & co, sont plus que fautifs comme c'est leur job de faire 
>> les updates de l'OS pour leurs devices.

Exactement. Le problème, ce sont les constructeurs qui n’assurent pas le
suivi de leurs produits sur le long terme, allant de 0 jours à 2/3 ans
selon les marques. Et même quand le suivi est assuré, il est
généralement partiel. Évidemment, leur but pour la quasi-totalité
d’entre elles est que les gens rachètent un téléphone pour avoir le
nouveau système, pas de dépenser des sous pour continuer le support de
ceux qui ont déjà payé.

Après, dans quelques cas de niche, on peut passer par les ROMs
alternatives type LineageOS pour continuer à mettre à jour des
périphériques, mais ça c’est si on a la main sur le parc (par exemple,
j’ai une tablette LG dont la dernière version d’Android fournie par le
constructeur est la 4.4, mais je tourne en 9.0 dessus grâce à crDroid).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Stéphane Rivière]

> Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
> centaines de milliers de dollars, il faut vraiment passer sur un certificat
> avec une vraie assurance, c'est un investissement largement gagnant en cas
> de besoin.

Peut-être pour un gros site ecommerce. Surtout vrai si, comme là, LE a
un problème sur une plateforme et que ça va faire perdre de l'argent. De
toute façon, un cert, ça se change facilement.

Pour le reste, le biz des certificats est un truc parfaitement malsain
et carrément moisi. Comment croire que la plupart de ces marchands de
petits fichiers ne sont pas maqués avec telle ou telle agence de sécu ?

Comment croire que le niveau de chiffrement requis n'est pas explosé
depuis qu'il a été autorisé (i.e. on n'autorise pas le chiffrement à 128
bits si on n'est pas capable de déchiffrer ce niveau de chiffre).

Bref, c'est de la touille qui a encore compliqué la glute. À la toute
fin, ça ne change rien, hormis protéger les transacs face à des hackers
michus.

> PS: look CAcert (http://www.cacert.org/) que seulement certains
> connaissent, on avait nos certificats gratuits bien avant l'existence de
> letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> validation de la personne est obligatoire.

CAcert, on a donné en son temps, c'était probablement le moins pire mais
incomparablement plus lourdeau que l'excellent Let's Encrypt.

Ici on a dev un script (acmemgr.sh, on le trouve sur github) qui vient
au dessus de l'excellentissime acme.sh et c'est le bonheur tellement que
ça se fait oublier. Ca vaut le coup de regarder le readme pour voir si
ça peut aider. Pas mal de sysadmins l'utilisent.

Il y a plein d'autres soluces tout aussi valables et velues, selon son
infra et ses goûts : l'écosystèmes LE est pléthorique.

Mais dire que LE n'est pas sécurisé, etc, c'est du FUD. Il n'est pas
moins sécurisé que les autres. Il est probablement plus sécurisé que
certains et, en fin de compte, ça n'a pas d'importance :)

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[neo futur]

> Je pense que c'était un peu fort de le faire en alerte, ce n'est pas une 
> casse d'un T1 voir d'une fibre sur une zone.
> À mon avis, la meilleure place aurait été sur frnog mais je vais quand même 
> répondre.

 Oui, je suis désolé, je n'ai pas posté sur frnog depuis des années,
j'ai d'abord essayé de poster sur general mais j ai recu un message
sympa me disant qu'il fallait ajouter un tag. je n'ai pas trouvé mieux
que "alert".

 Je vous prie tous de m'excuser si le tag "alert" vous semble abusif.
en ce qui me concerne, et pour mes quelques clients qui vivent grâce à
un site de ecommerce qui utilise letsencrypt, sur mes recommandations,
c est assez grave pour mériter un tag alerte . . .

> Android est connu pour avoir une politique d'update complètement déconnectée 
> de la raison.
certes

> Faire un lobbying dessus, je trouve cela abusé comme chaque constructeur 
> utilisant Android doit faire son job de suivi d'update.
>Il faut arrêter de croire que c'est exclusivement Google…
certes, mais google peut probablement regler une grande partie du
probleme non ?
qui  d autre ?

> Xiaomi, Samsung & co, sont plus que fautifs comme c'est leur job de faire les 
> updates de l'OS pour leurs devices.
>
> Il y a toujours l'alternate au niveau d'ACME comme solution temporaire et 
> espérer que les updates arrivent.
>
> Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x centaines 
> de milliers de dollars, il faut vraiment passer sur un
> certificat avec une vraie assurance, c'est un investissement largement 
> gagnant en cas de besoin.

 mes clients, tout comme moi,  sont des petits , qui vivent de leur
e-commerce mais ne font certainement pas des millions, ni meme des
dizaines de milliers. et il doit y avoir des milliers de petits
entrepreneurs dans leur genre.

> PS: look CAcert (http://www.cacert.org/) que seulement certains connaissent, 
> on avait nos certificats gratuits bien avant
>l'existence de letsencrypt et en même temps, bien plus sécurisé que 
>letsencrypt car la validation de la personne est obligatoire.
pour moi sysadmin qui gère les serveurs dédiés de mes clients,
letsencrypt est simple , rapide et utilisable facilement. quelques
clics dans virtualmin suffisent dorénavant si le dns est bien fait. ma
lointaine expérience de cacert etait loin d'etre aussi simple.

> Bonne soirée/nuit
>
> On Fri, Nov 6, 2020, 21:28 neo futur  wrote:
>>
>> bonjour a tous ,
>>
>> je poste rarement sur frnog, je prefere en general lurker, lire et m 
>> instruire.
>> mais la, je dois poster . . .
>>
>> je viens de lire
>> https://letsencrypt.org/2020/11/06/own-two-feet.html
>>
>> et je souhaite demander l avis des membres de frnog sur cette situation.
>>
>> comme beaucoup, j'ai peu a peu recommandé letsencrypt a mes clients
>> qui devaient passer en https.
>>
>> je compte continuer a supporter et utiliser letsencrypt mais la , on
>> devrait peut être lancer un gros lobbying pour forcer google et d
>> autre a "don't be evil" et à regler ce probleme qui s'en vient ?
>>
>> votre avis de vieux sages de l internet ?
>>
>> --
>> Cordialement
>>---
>>  William Waisse
>>   http://waisse.org | http://neoskills.com | http://ww7.pe |
>> https://careers.stackoverflow.com/neofutur
>> "Computers are like air conditionners. They work better when you close 
>> windows."
>> "You have enemies? Good. That means you've stood up for something in your 
>> life."
>> "First they ignore you, then they laugh at you, then they fight you,
>> then you win"
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/



-- 
Cordialement
   ---
 William Waisse
  http://waisse.org | http://neoskills.com | http://ww7.pe |
https://careers.stackoverflow.com/neofutur
"Computers are like air conditionners. They work better when you close windows."
"You have enemies? Good. That means you've stood up for something in your life."
"First they ignore you, then they laugh at you, then they fight you,
then you win"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] Re: [FRnOG] [ALERT] annonce letsencrypt

[Florent CARRÉ]

Hello,
Je pense que c'était un peu fort de le faire en alerte, ce n'est pas une
casse d'un T1 voir d'une fibre sur une zone.
À mon avis, la meilleure place aurait été sur frnog mais je vais quand même
répondre.

Android est connu pour avoir une politique d'update complètement
déconnectée de la raison.

Faire un lobbying dessus, je trouve cela abusé comme chaque constructeur
utilisant Android doit faire son job de suivi d'update. Il faut arrêter de
croire que c'est exclusivement Google…
Xiaomi, Samsung & co, sont plus que fautifs comme c'est leur job de faire
les updates de l'OS pour leurs devices.

Il y a toujours l'alternate au niveau d'ACME comme solution temporaire et
espérer que les updates arrivent.

Il faut arrêter d'abuser de letsencrypt, si le site pro rapporte x
centaines de milliers de dollars, il faut vraiment passer sur un certificat
avec une vraie assurance, c'est un investissement largement gagnant en cas
de besoin.

PS: look CAcert (http://www.cacert.org/) que seulement certains
connaissent, on avait nos certificats gratuits bien avant l'existence de
letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
validation de la personne est obligatoire.

Bonne soirée/nuit

On Fri, Nov 6, 2020, 21:28 neo futur  wrote:

> bonjour a tous ,
>
> je poste rarement sur frnog, je prefere en general lurker, lire et m
> instruire.
> mais la, je dois poster . . .
>
> je viens de lire
> https://letsencrypt.org/2020/11/06/own-two-feet.html
>
> et je souhaite demander l avis des membres de frnog sur cette situation.
>
> comme beaucoup, j'ai peu a peu recommandé letsencrypt a mes clients
> qui devaient passer en https.
>
> je compte continuer a supporter et utiliser letsencrypt mais la , on
> devrait peut être lancer un gros lobbying pour forcer google et d
> autre a "don't be evil" et à regler ce probleme qui s'en vient ?
>
> votre avis de vieux sages de l internet ?
>
> --
> Cordialement
>---
>  William Waisse
>   http://waisse.org | http://neoskills.com | http://ww7.pe |
> https://careers.stackoverflow.com/neofutur
> "Computers are like air conditionners. They work better when you close
> windows."
> "You have enemies? Good. That means you've stood up for something in your
> life."
> "First they ignore you, then they laugh at you, then they fight you,
> then you win"
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/