Re: Certificats https aléatoires suivant les navigateurs

2017-04-15 Par sujet Frederic MASSOT 

Le 15/04/2017 à 11:22, andre_deb...@numericable.fr a écrit :

Bonjour,

J'ai installé sur un serveur Web,
- les certificats StartSSL (gratuits) toujours valides,
- et j'ai acheté les certificats tout récemment chez OVH.

Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany,
le site Web affiche une erreur de certificats,
que ce soient avec les certificats d'OVH ou de StartSSL.

Ça marche avec un ou deux navigateurs et pas avec d'autres,
et vice versa.

Quels certificats fonctionnent quelquesoient les navigateurs ?


Test ton site web avec le test SSL de Qualys :

https://www.ssllabs.com/ssltest/

Tu auras pas mal d'infos sur ta config.


--
==
|  FRÉDÉRIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:frede...@juliana-multimedia.com   |
| +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
===Debian=GNU/Linux===

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

2017-04-15 Par sujet Thierry Bugier Pineau 
Bonsoir
J'en suis à la configuration du TLS sur SMTP
Voilà la configuration que j'ai pour le moment, et qui n'autorise que
TLS 1.2
La configuration é été vérifiée successivement avec le site suivant htt
ps://ssl-tools.net/mailservers
Il considère une configuration fiable si TLS 1.0 ou  1.1 sont permis,
mais je compte bien les bannir, sauf si quelque chose m'oblige à
revenir en arrière.
C'est un extrait de mon  /etc/postfix/main.cf ;
smtpd_tls_security_level = encryptsmtpd_tls_received_header =
nosmtpd_tls_auth_only = yessmtpd_tls_loglevel = 1smtpd_tls_cert_file =
/path/to/cert.pemsmtpd_tls_key_file = /path/to/priv.keysmtpd_use_tls =
yessmtp_tls_note_starttls_offer = yessmtpd_tls_session_cache_timeout =
3600ssmtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA,
RC4-SHA, AES256-SHA, AES128-SHAtls_high_cipherlist =
ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-
SHAsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1,
!TLSv1.1smtpd_tls_mandatory_protocols = TLSv1.2
Le vendredi 14 avril 2017 à 22:32 +0200, andre_deb...@numericable.fr a
écrit :
> On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:
> > le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
> > silence.  J'ai préparé postfix, je continue avec Dovecot dans les
> jours
> > à venir et ensuite je m'attaque au TLS pour atteindre le même
> niveau de
> > progression et donner un coup de main.
> > J'essaie aussi de créer un script shell (très sommaire) pour rendre
> la
> > configuration maintenable et reproductible (que je partagerai
> > volontiers sur github).
> 
> On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote:
> > Je l'attends avec plaisir, merci d'avance.
> > Ça fait longtemps que dovecot + certificats me posent soucis... :-)
> > Bonne journée,  André
> 
> Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-)
> 
> André
> 
>

Re: ZSH affiche l'erreur : zsh: bad pattern: e[0

2017-04-15 Par sujet Pierre Malard 
Je pense que cela dépend plus de la commande utilisée que du shell. Regarde 
déjà sur tu as accès à l’option « -e » avec echo en lisant le man.
Sinon, tu peux toujours essayer avec un « printf »…


> Le 15 avr. 2017 à 12:54, Étienne Mollier  a écrit 
> :
> 
> Bonjour,
> 
> On 04/15/2017 12:00 PM, G2PC wrote:
>> *Afficher un ascii art au lancement de votre terminal*
>> 
>> Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0
>> 
>> \e[0;36m.
>> zsh: bad pattern: e[0
>> 
>> 
>> Avez vous une piste pour permettre l'affichage ?
> 
> On dirait que zsh tente d'interprêter ton code d'échappement au
> lieu de le passer au terminal.  As-tu protégé ta chaîne de caractères
> avec des doubles quotes?
> 
> Normalement la commande suivante devrait t'afficher un point vert:
> 
>   echo -e "\e[0;36m."
> 
> J'ai fait le test en bash, mais le comportement devrait être assez
> voisin de celui de zsh dans ce cas.
> 
> À plus,
> --
> Étienne Mollier 
> 

--
Pierre Malard

   « Tous les Français ambitionnent pour la France un grand rôle
   dans le monde. Ce n'est point par des aventures guerrières qu'elle
   le trouvera, c'est en donnant aux peuples l'exemple et le signal
   de justice. »
Jean Jaures - "L'idéal de justice" 
- 1889
   |\  _,,,---,,_
   /,`.-'`'-.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ 
(  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--



signature.asc
Description: Message signed with OpenPGP

Re: ZSH affiche l'erreur : zsh: bad pattern: e[0

2017-04-15 Par sujet Étienne Mollier 
Bonjour,

On 04/15/2017 12:00 PM, G2PC wrote:
> *Afficher un ascii art au lancement de votre terminal*
> 
> Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0
> 
> \e[0;36m. 
> zsh: bad pattern: e[0
> 
> 
> Avez vous une piste pour permettre l'affichage ?

On dirait que zsh tente d'interprêter ton code d'échappement au
lieu de le passer au terminal.  As-tu protégé ta chaîne de caractères
avec des doubles quotes?

Normalement la commande suivante devrait t'afficher un point vert:

echo -e "\e[0;36m."

J'ai fait le test en bash, mais le comportement devrait être assez
voisin de celui de zsh dans ce cas.

À plus,
-- 
Étienne Mollier

Re: Certificats https aléatoires suivant les navigateurs

2017-04-15 Par sujet babouchko 
Slt,
Peut être hors sujet mais j'ai déjà eu ce orb lorsque l'heure était mal
configuré sur le serveur et/ou le client.

Cdt
Sebastien
Le 15 avr. 2017 12:33 PM, "Thierry Bugier Pineau"  a
écrit :

> Essayez let's encrypt. Cela dit je suis étonné que ceux d'OVH ne
> fonctionnement pas. Avez vous configuré le serveur pour fournir la chaine
> de certificats ?
>
> Le serveur donne au client son certificat (que vous avez apparemment
> configuré), mais doit aussi donner les certificats des autorités de
> certification intermédiaires jusqu'à une autorité reconnue par les clients.
> C'est ce qu'on appelle parfois la "CA chain".
>
> Et oubliez startssl : leurs certificats ne seront plus acceptés par
> firefox et chrome d'ici quelques semaines, si ce n'est pas déjà fait. Ils
> ont été rachetés par une autorité ayant de mauvaises pratiques. Google l'a
> annoncé, Mozilla aussi.
>
> Avoir un OS à jour a une influence sur les autorités reconnues (fiables).
> Récemment sur Debian, j'ai vu pas mal de changement sur les autorités de
> certification incluses dans l'OS (Sid). On en ajoute, et parfois on en
> retire.
>
> Le 15 avril 2017 11:22:14 GMT+02:00, andre_deb...@numericable.fr a écrit :
>>
>> Bonjour,
>>
>> J'ai installé sur un serveur Web,
>> - les certificats StartSSL (gratuits) toujours valides,
>> - et j'ai acheté les certificats tout récemment chez OVH.
>>
>> Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany,
>> le site Web affiche une erreur de certificats,
>> que ce soient avec les certificats d'OVH ou de StartSSL.
>>
>> Ça marche avec un ou deux navigateurs et pas avec d'autres,
>> et vice versa.
>>
>> Quels certificats fonctionnent quelquesoient les navigateurs ?
>>
>> Merci,
>>
>> André
>>
>>
> --
> Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma
> brièveté.
>

Re: Certificats https aléatoires suivant les navigateurs

2017-04-15 Par sujet Thierry Bugier Pineau 
Essayez let's encrypt. Cela dit je suis étonné que ceux d'OVH ne fonctionnement 
pas. Avez vous configuré le serveur pour fournir la chaine de certificats ?

Le serveur donne au client son certificat (que vous avez apparemment 
configuré), mais doit aussi donner les certificats des autorités de 
certification intermédiaires jusqu'à une autorité reconnue par les clients. 
C'est ce qu'on appelle parfois la "CA chain".

Et oubliez startssl : leurs certificats ne seront plus acceptés par firefox et 
chrome d'ici quelques semaines, si ce n'est pas déjà fait. Ils ont été rachetés 
par une autorité ayant de mauvaises pratiques. Google l'a annoncé, Mozilla 
aussi.

Avoir un OS à jour a une influence sur les autorités reconnues (fiables). 
Récemment sur Debian, j'ai vu pas mal de changement sur les autorités de 
certification incluses dans l'OS (Sid). On en ajoute, et parfois on en retire.

Le 15 avril 2017 11:22:14 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>J'ai installé sur un serveur Web,
>- les certificats StartSSL (gratuits) toujours valides,
>- et j'ai acheté les certificats tout récemment chez OVH.
>
>Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany, 
>le site Web affiche une erreur de certificats,
>que ce soient avec les certificats d'OVH ou de StartSSL.
>
>Ça marche avec un ou deux navigateurs et pas avec d'autres,
>et vice versa.
>
>Quels certificats fonctionnent quelquesoient les navigateurs ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

ZSH affiche l'erreur : zsh: bad pattern: e[0

2017-04-15 Par sujet G2PC 
*Afficher un ascii art au lancement de votre terminal*

Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0

\e[0;36m. 
zsh: bad pattern: e[0


Avez vous une piste pour permettre l'affichage ?

Exemple :
https://www.visionduweb.eu/forum/os-gnu-linux/1148-afficher-un-ascii-art-au-lancement-de-votre-terminal

Re: Certificats https aléatoires suivant les navigateurs

2017-04-15 Par sujet Jonathan bartoua Schneider 
Hello,

Dans ta conf Apache tu as bien positionné la chaîne d'AC qui a émis les
certificats (la directive est SSLCertificateChainFile) ?

Si l'AC root est déjà trust par ta machine ou par le navigateur, tu as
besoin de mettre au moins toutes les AC sauf la root, maps c'est souvent
plus "propre" de mettre toute la chaîne. Si l'AC root n'est pas trust, tu
auras toujours des exceptions parce que les autorités ne sont pas "de
confiance" pour ta machine/navigateur.

Jonathan

Le 15 avr. 2017 11:22 AM,  a écrit :

> Bonjour,
>
> J'ai installé sur un serveur Web,
> - les certificats StartSSL (gratuits) toujours valides,
> - et j'ai acheté les certificats tout récemment chez OVH.
>
> Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany,
> le site Web affiche une erreur de certificats,
> que ce soient avec les certificats d'OVH ou de StartSSL.
>
> Ça marche avec un ou deux navigateurs et pas avec d'autres,
> et vice versa.
>
> Quels certificats fonctionnent quelquesoient les navigateurs ?
>
> Merci,
>
> André
>
>

Certificats https aléatoires suivant les navigateurs

2017-04-15 Par sujet andre_debian 
Bonjour,

J'ai installé sur un serveur Web,
- les certificats StartSSL (gratuits) toujours valides,
- et j'ai acheté les certificats tout récemment chez OVH.

Suivant les navigateurs, Firefox, TOR, Chrome, Opera, Epiphany, 
le site Web affiche une erreur de certificats,
que ce soient avec les certificats d'OVH ou de StartSSL.

Ça marche avec un ou deux navigateurs et pas avec d'autres,
et vice versa.

Quels certificats fonctionnent quelquesoient les navigateurs ?

Merci,

André

Re: [Serveur mail] Bonnes pratiques et conseils

2017-04-15 Par sujet Thierry Bugier Pineau 
Toutes les discussions sur les serveurs mails attisent pour m'y remettre. Je 
vais retenter l'expérience, nettoyer mes notes et partager.

Si ça peut rendre service à quelques uns, et bien, et j'en profiterai pour 
demander quelques renseignements sur des points d'architecture que je veux 
réaliser : 1 samba 4 par domaine et des serveurs frontaux. Pour apprendre, 
utiliser, et ne pas dépendre de solutions clé en main qui au final restreignent 
les libertés en terne de gestion, compréhension et maintenance

Le 1 avril 2017 18:12:35 GMT+02:00, Louis-Philippe  a 
écrit :
>Bonjour,
>
>Je ne connais pas tous les logiciels que tu as installés, mais il y
>aussi
>PostGrey (en package Debian) que je commence à utiliser.
>De ce que j'ai compris, si le triplet "expéditeur, serveur et
>destinataire"
>existe dans ma base de données (mon serveur de mail) et a été utilisé
>récemment(ex dans le dernier mois), il passe librement, sinon, il
>redemande
>au serveur de l'expéditeur une nouvelle expédition du mail. Les
>serveurs de
>spams ne réexpédient pas un courriel en général.
>
>Et tout ça, avant qu'ils soient analysés pour vérifier si c'est un SPAM
>ou
>virus. La charge de ton serveur est donc réduite de beaucoup...
>
>Le seul désavantage que j'ai constaté, si le triplet n'existe pas et
>que le
>courriel est légitime, le courriel peut prendre 5-10 minutes avant
>d'arriver... et nous n'avons pas de contrôle sur ce délai car c'est le
>serveur de l'expéditeur qui décide quand le renvoyer.
>
>Cordialement,
>
>
>Le 1 avril 2017 à 06:12, Kévin Gaspard  a
>écrit :
>
>> Bonjour à toutes et à tous,
>>
>> (je n'ai jamais participé à de ML, merci de me faire part de mes
>erreurs
>> mais avec un soupçon d'indulgence s'il vous plaît)
>>
>> J'ai il y a peu terminé la configuration d'un serveur mail, qui
>> fonctionne, avec les composants suivants:
>>
>> - Debian 8
>> - IPTables + Fail2Ban
>> - Postfix + Postscreen (avec 3 listes RBL)
>> - Dovecot
>> - MariaDB
>> - RSpamD avec sa web UI
>> - ClamAV
>> - OpenDKIM + SPF (paquet: postfix-policyd-spf-python)
>> - Certificat Let's Encrypt (4096 bits) pour imap.domain.tld et un
>autre
>> pour smtp.domain.tld
>>
>> Tout ça provenant des dépôts officiels de Debian, je n'ai rien
>compilé ou
>> récupéré sur github.
>>
>> Pour tester tout ça, j'ai effectué les actions suivantes:
>>
>> - Envoie de mail à partir d'une adresse de domain.tld (sur une
>adresse
>> gandi et une gmail)
>> - Réception de mail à partir d'adresses gandi et gmail vers
>domain.tld
>> - Envoie d'une signature EICAR en pièce jointe pour tester ClamAV
>> - Je suis en plein envoie massif de spam (depuis bientôt deux jours)
>via
>> un site qui inscrit une adresse e-mail donné sur un maximum de
>formulaire
>> sur le web, connu pour envoyer des mails en retour. Je suis à environ
>27000
>> formulaires remplis, et seulement ~80 mails sont parvenu jusqu'à ma
>boîte
>> poubelle, et ces mails sont des inscriptions à des ML (du genre
>redhat.com),
>> donc aucun véritable spam pour le moment. Tout semble avoir été
>filtré par
>> le DKIM et le SPF (faut savoir qu'en testant ce site avec un gmail,
>j'avais
>> plusieurs mails à la minute me demandant si je voulais une petite
>copine
>> russe ou ce genre de truc dans les spams).
>>
>> Je sais que je n'ai pas terminé, je dois encore donner des cours à
>RSpamD
>> pour qu'ils servent à quelque chose (il n'a encore rien filtré) et je
>dois
>> encore voir pour réceptionner les logs de mon serveur vers mon
>desktop
>> (e-mail de notification, logwatch etc). Sans compter un véritable
>système
>> de backup digne de ce nom. Aussi, je ne crois pas avoir configuré
>Fail2Ban
>> pour travailler de paire avec l'authentification de mon serveur mail
>(qui
>> se passe avec Dovecot).
>> RoundCube est aussi envisagé pour la mobilité.
>>
>> J'aimerai avoir vos avis sur ce qui me resterai à faire comme test,
>voir
>> comme configuration ou ajout de logiciels, ce que je devrai penser à
>la
>> suite, quels sont les pièges de débutant à éviter... Bref je me sens
>un peu
>> perdu sur la suite des évènements et je ne sais pas sur quoi je dois
>> m'orienter en priorité.
>> Le fait que ce serveur mail fonctionne ne veut pas dire que je l'ai
>bien
>> fais. Je ne m'amuse pas encore à paster de la conf ici, mais si vous
>pensez
>> que c'est nécessaire je le ferai (en obfusquant ce qui doit l'être
>bien
>> sûr).
>>
>> Après deux jours de recherches je suis tombé à cours d'idées, en
>somme.
>>
>> Je vous souhaite à toutes et à tous un excellent week-end.
>>
>> Cordialement,
>> GASPARD Kévin
>>
>>
>>
>>
>
>
>-- 
>Louis-Philippe Gauthier

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Postfix Dovecot et SSL : SSL23: unknown protocol

2017-04-15 Par sujet Thierry Bugier Pineau 
J'y pense ; il faut juste que je me dégage un peu de temps. Je ne n ai pas 
vraiment eu pour l'instant.

En passant j'ai trouvé sur le wiki de Dovecot un script shell qui permet 
d'éditer sa configuration via la ligne de commande ou un autre script. C'est 
partiellement expérimental. On n'a pas d'équivalent à postconf ? Cet outil 
facilite énormément le travail d'automatisation.

Le 14 avril 2017 22:32:21 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:
>> le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
>> silence.  J'ai préparé postfix, je continue avec Dovecot dans les
>jours
>> à venir et ensuite je m'attaque au TLS pour atteindre le même niveau
>de
>> progression et donner un coup de main.
>> J'essaie aussi de créer un script shell (très sommaire) pour rendre
>la
>> configuration maintenable et reproductible (que je partagerai
>> volontiers sur github).
>
>On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote:
>> Je l'attends avec plaisir, merci d'avance.
>> Ça fait longtemps que dovecot + certificats me posent soucis... :-)
>> Bonne journée,  André
>
>Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-)
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.