[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

J’ai cru que quelqu’un avait mis en place une passerelle entre X et FRsAG… L'achat à 44 Md par IronMan a permis la diffusion les twitter files. Ça fait cher la vérité mais bon, ces temps-ci, la vérité a ses pointeurs en plein dépassement. Que fait l'UE d'ailleurs ? N'a t-elle pas encore

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

> On se croirait sur FRnOG les jours de grands vents... On peut se mettre à > plusieurs pour taper sur Laurent mais bon... > > Il a son avis non orthodoxe et/ou très discutable mais bon... La réaction me > semble est un tantinet excessive. > J’ai cru que quelqu’un avait mis en place une

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Bon... dredi... Grand beau... Rien à troller sur FRnOG (MP ayant disparu des radars), on va y mettre son poil à gratter sur la très calme et normalement apaisée FRsAG... Alors je suppose que tu commentes : "On y découvre un style de programmation artificiellement compliqué. Par exemple : mais

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le Thu, Mar 21, 2024 at 02:16:51PM +0100, Laurent Barme a écrit : > > Le 21/03/2024 à 12:51, Jeremie Courreges-Anglas a écrit : > > Le Thu, Mar 21, 2024 at 11:16:20AM +0100, Laurent Barme a écrit : > > > Le 21/03/2024 à 09:31, Denis Fondras via FRsAG a écrit : > > > > Le Wed, Mar 20, 2024 at

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Et bien voilà une information qui clos le débat sur l'automatisation de la mise à jour des certificats SSL ! Oui ! Voir aussi, en français :

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 15:20, Laurent Barme a écrit : J'ai entendu, et c'est confirmé par une petite recherche, que Google imposerait bientôt des certificats de 90 jours. Il vaudra mieux à ce moment là avoir une procédure de renouvellement automatique.

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Laurent Barme <2...@barme.fr> wrote on 21/03/2024 at 14:16:51+0100: > Ne crois-tu pas que la bande passante de FRsAG a été suffisamment > saturée récemment par des propos hargneux qui n'apportent rien aux > lecteurs et qu'il serait temps de revenir à des échanges plus courtois > et surtout plus

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 14:37, Alain Péan via FRsAG a écrit : J'ai entendu, et c'est confirmé par une petite recherche, que Google imposerait bientôt des certificats de 90 jours. Il vaudra mieux à ce moment là avoir une procédure de renouvellement automatique.

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 14:51, David Ponzone a écrit : Le 20 mars 2024 à 14:40, Laurent Barme <2...@barme.fr> a écrit : Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours pour les certificats LE. Sans parler d'une sollicitation moindre de leurs serveurs, si cela avait été

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 12:51, Jeremie Courreges-Anglas a écrit : Le Thu, Mar 21, 2024 at 11:16:20AM +0100, Laurent Barme a écrit : Le 21/03/2024 à 09:31, Denis Fondras via FRsAG a écrit : Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : C'est là où je ne te rejoins pas. Par

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 13:26, Jeremie Courreges-Anglas a écrit : Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : [...] Pour mon premier travail salarié, j'ai eu pour mission de maintenir un programme d'affichage et de traitement d'informations financières en temps réel. Il était

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : [...] > Pour mon premier travail salarié, j'ai eu pour mission de maintenir un > programme d'affichage et de traitement d'informations financières en temps > réel. Il était profondément buggé, son concepteur étant plus porté sur le

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le Thu, Mar 21, 2024 at 11:16:20AM +0100, Laurent Barme a écrit : > > Le 21/03/2024 à 09:31, Denis Fondras via FRsAG a écrit : > > Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : > > > C'est là où je ne te rejoins pas. Par exemple, à voir comment est codé > > > openssh cela ne

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 10:25, Stéphane Rivière a écrit : Ces choses-là étant dites le logiciel libre (que je peux recompiler, par opposition à de l'open source inbuildable avec des binaires gentiment proposés) représente un tel progrès dans la connaissance et dans la prod que je n'imagine juste pas

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 21/03/2024 à 09:31, Denis Fondras via FRsAG a écrit : Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : C'est là où je ne te rejoins pas. Par exemple, à voir comment est codé openssh cela ne me parait pas du tout évident d'y découvrir rapidement un bug. Ok, openssh est

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

( ici un sysadmin de 50 ans qui est aussi développeur C, et j en passe ) Ici même profil que toi. Les points que j'ai retenu, ayant taffé pour la défense est que, contrairement au discours habituel d'audition d'un code source, la protection par la non diffusion est la base de la protection

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le Wed, Mar 20, 2024 at 10:07:11PM +0100, Laurent Barme a écrit : > > C'est là où je ne te rejoins pas. Par exemple, à voir comment est codé > openssh cela ne me parait pas du tout évident d'y découvrir rapidement un > bug. Ok, openssh est complexe mais en plus son codage est tordu. Pourquoi >

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Bonsoir, Très franchement, entre les PME où les équipes d'infras sont réduites et assez prises par les incendies à éteindre ou des utilisateurs un peu trop insistants, et les grosses structures qui ont trop de certificats à gérer pour le faire à la main, l'automatisation c'est pas si mal.

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

> Merci d'intervenir ; je suis intéressé par toute discussion constructive qui > pourrait faire >progresser mes connaissances, surtout lorsque c'est fait sans agressivité. Pas de probleme, j' essaye de ne pas être agressif, mais tu sais quand on est convaincu de ce qu' on dit . . . on a parfois

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 20:58, neo futur a écrit : Bon, je ne suis pas intervenu dans ton troll LE mais je me dois d intervenir su celui ci . Merci d'intervenir ; je suis intéressé par toute discussion constructive qui pourrait faire progresser mes connaissances, surtout lorsque c'est fait sans

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

> Parfois je me demande quand même s'il se rend compte de ce qu'il écrit. Par > exemple >quand il dit "qu'il est bien plus facile de trouver rapidement une vuln dans >un code ouvert > que dans un code auquel tu n'as pas accès." il ne fait que conforter mon > point de vue sur le >fait que l'open

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 17:20, Stéphane Rivière a écrit : Mais quelle agressivité ! C'est clair que t'as pris cher. T'as vu ça, c'est impressionnant comme notre ami PEB a de l'agressivité à revendre, en tout cas beaucoup plus que de subtilité ou d'humour. Mais heureusement qu'il est là pour

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 11:14, Barth DELUY a écrit : D'autant plus qu'il est tout à fait possible d'utiliser certbot pour lui faire simplement renouveler les certificats, sans lui donner les droits sur la conf apache/nginx/... Un script maison qui lance le renouvellement, vérifie si les fichiers ont

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Hello, Stéphane Rivière wrote on 20/03/2024 at 17:20:33+0100: >> Mais quelle agressivité ! > > C'est clair que t'as pris cher. C'était pas mérité quand on te > connais... T'avais juste un avis taquin et non consensuel (ce mot est > remarquable ;). Alors histoire de remettre les choses dans

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Mais quelle agressivité ! C'est clair que t'as pris cher. C'était pas mérité quand on te connais... T'avais juste un avis taquin et non consensuel (ce mot est remarquable ;). Il faut quand même préciser que ces dealers de certs payants sont parfois/souvent des passoires. Ils peuvent

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 15:26, Pierre-Elliott Bécue a écrit : … Mais quelle agressivité ! Mal dormi peut-être ? Bref, j'arrête là en ce qui concerne mon interaction avec toi Ah, enfin une bonne nouvelle. J'espère que tu t'y tiendras, du moins tant que tu liras mes propos avec un esprit aussi

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 15:22, David Ponzone a écrit : Le côté négatif de LE c’est que ça permet à n’importe quel margoulin de présenter un site avec une facade clean en apparence. Tout à fait. Du temps où les navigateurs distinguaient les certificats EV d'une barre verte, il y avait une vrai valeur

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Laurent Barme <2...@barme.fr> wrote on 20/03/2024 at 14:40:01+0100: > Bonjour Stéphane, > > Merci pour ta réponse bienveillante et apaisée… > > Il n'y a pas de "fight" pour moi, juste un échange de point de vue ; > c'est dommage que cela empêche certains de dormir :-) Rassure-toi, l'intérêt que

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

> Le 20 mars 2024 à 14:59, Laurent Barme <2...@barme.fr> a écrit : > > > Mais l'automatisation systématique est-elle vraiment un gage de sécurité > absolue ? Tu vois un autre moyen ? J’imagine un FAI/intégrateur ou même un grand compte qui gère plusieurs centaines ou milliers de certificats,

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Mais l'automatisation systématique est-elle vraiment un gage de sécurité absolue ? L'auteur principal du protocole ACME s'appelle Barnes. Vu de loin, c'est comme ton nom ;) L'automatisation est un gage de sûreté (de fonctionnement), une notion différente mais complémentaire de la

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Avé Laurent, Merci pour ta réponse bienveillante et apaisée… Mouarf :))) Cela dit, tout choix est une question d'arbitrage qui dépend du contexte. Non seulement je ne remets pas en cause ta gestion (ni celle des autres colistiers !) de tes multiples certificats SSL mais je la trouve très

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 14:51, David Ponzone a écrit : Le 20 mars 2024 à 14:40, Laurent Barme <2...@barme.fr > a écrit : Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours pour les certificats LE. Sans parler d'une sollicitation moindre de leurs

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Le 20/03/2024 à 12:09, Théophile Bastian a écrit : Merci PEB pour ton mail, que je ne peux que +1 aussi. J'irais même plus loin que ça pour la question du "trojan" : on ne parle en fait pas de Certbot, mais de ACME, un protocole défini par la RFC 8555. Certbot n'est que son implémentation la

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

> Le 20 mars 2024 à 14:40, Laurent Barme <2...@barme.fr> a écrit : > > Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours > pour les certificats LE. Sans parler d'une sollicitation moindre de leurs > serveurs, si cela avait été un an, nous n'aurions jamais eu cette

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Bonjour Stéphane, Merci pour ta réponse bienveillante et apaisée… Il n'y a pas de "fight" pour moi, juste un échange de point de vue ; c'est dommage que cela empêche certains de dormir :-) Je suis aussi surpris par les réactions enthousiastes que l'expression de mon point de vue a suscitées

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Merci PEB pour ton mail, que je ne peux que +1 aussi. J'irais même plus loin que ça pour la question du "trojan" : on ne parle en fait pas de Certbot, mais de ACME, un protocole défini par la RFC 8555. Certbot n'est que son implémentation la plus courante et historique, mais j'ai par exemple

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

On Wed, Mar 20, 2024, at 11:14, Barth DELUY wrote: > C'est d'ailleurs une bonne pratique pour les infras distribuées, avoir > une seule machine qui renouvelle les certificats et ensuite les déploie > sur tous les frontaux. Ça limite le nombre de requêtes envoyées aux > serveurs Let'sEncrypt,

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Mon cher Laurent, Comme les colistiers te l'ont détaillé, ce combat me semble un mauvais fight et il y a mille manières de régler éventuellement les points que tu évoques. Pour ma part, étant un faignant professionnel, ma génération de certs (acme.sh + acmemgr.sh en DNS01 only) est confinée

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

D'autant plus qu'il est tout à fait possible d'utiliser certbot pour lui faire simplement renouveler les certificats, sans lui donner les droits sur la conf apache/nginx/... Un script maison qui lance le renouvellement, vérifie si les fichiers ont changé (par hash, par IssueDate, etc), et si

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

J'ai failli écrire une réponse similaire moi même. mais puisque elle est faite, +1 à toutes les remarques de Pierre-Eliott. et +1000 à "Et c'est bien le problème : tu as émis un avis très définitif sans avoir cherché plus loin." Après tout certbot, ça n'est que quelques centaines de Ko de

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Hello, Juste mes 2 centimes pour ajouter à la discussion qu'il n'est pas nécessaire d'être root pour faire tourner un serveur sur les ports privilégiés. La capability CAP_NET_BIND_SERVICE suffit, et peut généralement être attribuée à l'aide de setcap. Ça fonctionne depuis Linux 2.quelquechose (la

[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

Bon, désolé, mais il y a beaucoup de choses qui me posent problème, et que je ne souhaite pas laisser sans réponse pour les éventuels lecteurs qui ne seraient pas forcément à l'aise avec le sujet ou habitués à celui-ci. Laurent Barme <2...@barme.fr> wrote on 19/03/2024 at 20:34:20+0100: > A lire