[FRnOG] [MISC][TROLL] version.bind et NAPTR de saison

2023-04-21 Par sujet Jean-Francois Billaud via frnog 

dig version.bind ch txt @ns2.billaud.eu.org +short

dig naptr dispositif.billaud.eu.org +short | sort | cut -c 12-35


JFB

--
Pour un exemple de récursivité indirecte voyez à l'autre porte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le MWh à 1k€ ça donne quoi pour nous ?

2022-08-27 Par sujet Jean-Francois Billaud via frnog 

On 27/08/2022 14:51, Vincent Habchi wrote:


Salut,

je risque d’enfoncer des portes ouvertes, mais à la lecture des différents 
mails j’ai l’impression que deux faits ne sont pas clairs pour tout le monde :

1. La dérégulation du secteur de l’énergie a été imposé par la Communauté 
européenne. Je suis profondément européen en général, mais je dois bien 
reconnaître qu’il s’agit là d’une grossière erreur. On ne peut pas déléguer la 
production d’un bien fondamental, sur lequel, c’est évident, l’ensemble de la 
société actuelle est construite, à des entreprises privées à but lucratif. Et 
ce d’autant que la production alternative, « verte » montre clairement ses 
limites.

2. L’électricité, à l’heure actuelle, s'échange au coût dit « marginal ». 
Autrement dit on n’achète pas le kilowatt-heure au prix réel de production, 
mais à un prix qui serait le sien s’il fallait augmenter la production (par 
exemple en démarrant une centrale jusqu’ici arrêtée) pour produire ce kWh. Or, 
comme la plupart des centrales « d’appoint » fonctionnent soit au fuel, soit au 
gaz…

Vincent


De la spéculation qui fait augmenter les prix dans un marché dérégulé.

C'est à peine croyable.


JFB

--
Pour un exemple de récursivité indirecte voyez à l'autre porte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] dns court (était: Un CDN Down ?)

2021-06-10 Par sujet Jean-Francois Billaud via frnog 
On 10/06/2021 18:20, Stephane Bortzmeyer wrote:

> On Thu, Jun 10, 2021 at 04:12:32PM +0200,
>  Jean-Francois Maeyhieux  wrote 
>  a message of 30 lines which said:
> 
>> Pourquoi pas utiliser plusieurs NS de fournisseurs différents pour
>> servir la zone ?
> 
> C'est en effet une bonne idée, et c'est ainsi que fonctionne .fr (ou,
> beaucoup plus modestement, bortzmeyer.org).
> 
> Malheureusement, beaucoup d'hébergeurs DNS « pour entreprise » ne
> permettent pas de faire des transferts de zones avec la méthode
> normalisée (AXFR), il faut passer par leur interface Web ou leur
> API. Si on veut synchroniser le contenu de sa zone sur les différents
> hébergeurs, il faut se faire un script appelant leurs API.

Bientôt xfr-over-tls DNS Zone Transfer-over-TLS :
https://datatracker.ietf.org/doc/draft-ietf-dprive-xfr-over-tls/
Discussion là :
https://mailarchive.ietf.org/arch/browse/dns-privacy/

Côté déploiement, xfr-over-tls va être à axfr ce que IPv6 est à IPv4.


JFB

-- 
Pourquoi pas le transfert de zone par des kangourous ?

  |\\._
  |   66__
   \_.P
   ,`) (
   )\   / __\__
  / /  / -._);_)
 |  `\/  \ __|\
  \  ;)  / )
   `\|   /__/ /__
jgs  `\__)___)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le protocole QUIC désormais normalisé

2021-05-28 Par sujet Jean-Francois Billaud via frnog 
Copie -> FRsAG

On 28/05/2021 07:23, Stephane Bortzmeyer wrote:

> Les quatre RFC sur QUIC viennent d'être publiés. Ce nouveau protocole
> de transport, concurrent de TCP, pourrait bien devenir le transport
> majoritaire sur l'Internet, et changer certaines choses (par exemple,
> la mécanique de la couche transport est désormais chiffrée et n'est
> plus visible par un observateur indiscret, ce qui fera peut-être râler
> certains).
> 
> https://www.bortzmeyer.org/quic.html

On peut tester avec nginx-quic qui utilise boringssl.

https://quic.nginx.org/
https://boringssl.googlesource.com/boringssl/


JFB


PS Testé avec Debian 10 (on peut se passer de ngx-fancyindex et de 
nginx-ct-master) :

### boringssl
# https://boringssl.googlesource.com/boringssl/
cd /usr/src
git clone https://boringssl.googlesource.com/boringssl
cd boringssl
mkdir build
cd build
cmake ..
make

### nginx-quic
# https://quic.nginx.org/
# https://hg.nginx.org/nginx-quic/shortlog/quic
cd /usr/src
hg clone -b quic https://hg.nginx.org/nginx-quic
cd nginx-quic
# README
./auto/configure --with-debug --with-http_v3_module \
--with-cc-opt="-I../boringssl/include" \
--with-ld-opt="-L../boringssl/build/ssl -L../boringssl/build/crypto" \
--prefix=/usr/local/nginx-quic \
--with-http_ssl_module --with-http_v2_module \
--with-http_stub_status_module --with-http_gzip_static_module \
--with-http_geoip_module \
--with-openssl-opt=no-shared \
--with-stream --with-stream_ssl_module --with-mail 
--with-mail_ssl_module \
--add-dynamic-module=/usr/src/nginx-ct-master 
--add-module=../ngx-fancyindex \
--user=www-data --group=www-data

make
make install

### /usr/local/nginx-quic/conf/nginx.conf
# (1)
events {}

http {
log_format quic '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent" "$quic" "$http3"';

access_log logs/access.log quic;

server {
# for better compatibility it's recommended
# to use the same port for quic and https
listen 443 http3 reuseport;
listen 443 ssl;

ssl_certificate fullchain.pem;
ssl_certificate_key privkey.pem;
ssl_protocols   TLSv1.3;

location / {
# required for browsers to direct them into quic port
add_header Alt-Svc '$http3=":443"; ma=86400';
add_header QUIC-Status $quic;
root   /var/www/html/;
index  index.html index.htm;

}
}
}



-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le protocole QUIC désormais normalisé

2021-05-28 Par sujet Jean-Francois Billaud via frnog 
On 28/05/2021 08:41, Michel Py via frnog wrote:

>> Stephane Bortzmeyer a écrit :
>> Les quatre RFC sur QUIC viennent d'être publiés.
> 
> Est-ce qu'il n'aurait pas fallu écrire : Les quatre RFC sur QUIC viennent 
> d'être publiées ?
> 
> Est-ce qu'on dit un RFC, ou une RFC ? Littéralement, c'est une requête (ou 
> une demande), donc j'aurais tendance à pencher du coté féminin de la chose.
> 
> Contrairement à une croyance répandue, même en anglais les noms ont un genre. 
> Ce n'est pas aussi prononcé ni précis qu'en Français, mais ça existe quand 
> même.
> 
> Par exemple, quand un pilote parle d'un avion ou d'un navire et propose 
> "allons voir ce qu'il a dans le ventre", en anglais on dit "let's see what 
> she's got".
> En anglais, un avion ou un navire, c'est féminin. La logique n'est pas 
> meilleure qu'en Français, d'ailleurs.
> 
> Michel.

Avant de répondre il faut toujours voir d'abord si la question a été traitée 
sur le site de Stéphane :

https://www.bortzmeyer.org/rfc-masculin.html

JFB

-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ?

2021-05-21 Par sujet Jean-Francois Billaud via frnog 
On 21/05/2021 07:09, Michel Py via frnog wrote:

> Question pour Cécile : quand on est une nana, comment on dit "plein les 
> couilles" ?

Les autres aussi peuvent répondre ?

GONADE, subst. fém.
BIOL. Glande génitale qui produit les gamètes et sécrète des hormones 
sexuelles. Gonade femelle (synon. ovaire), gonade mâle (synon. testicule).

Donc gonadoclaste = qui casse les gonades

et gonadoclastophobe = qui n'aime pas les gonadoclastes.


JFB (inclusif gonadoclastophobe ampélidophile xyloglotte)


PS https://www.cledut.net/xylo.htm

-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Arcep cherche de l'expertise en certificat

2020-11-20 Par sujet Jean-Francois Billaud via frnog 
On 20/11/2020 11:43, David Ponzone wrote:

>> payto://void/?amount=EUR:0.02&sender-name="me" (version RFC 8905 de « mes 2 
>> cents »)
> 
> C’est dommage, il marche pas ton lien.

La plus mauvaise explication du monde sur la différence entre URL et URI :
https://waytolearnx.com/2018/09/difference-entre-uri-et-url.html

payto://void/?amount=CAD:0.02&sender-name="me"

JFB

-- 
All parts should go together without forcing.  You must remember that the
parts you are reassembling were disassembled by you.  Therefore, if you
can't get them together again, there must be a reason.  By all means, do
not use a hammer.
-- IBM maintenance manual, 1925


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Arcep cherche de l'expertise en certificat

2020-11-20 Par sujet Jean-Francois Billaud via frnog 
On 20/11/2020 10:46, David Ponzone wrote:

> Cisco ?
> 
> Ils sont en A+ chez Qualys.
> Tu peux détailler (parce que c’est vendredi) ? :)

Dans le genre « les certificats sont valides, pour le reste on n'a pas eu le 
temps »,
Cisco c'est mieux qu"une certaine agence gouvernementale :

https://www.hardenize.com/report/ssi.gouv.fr/1605866376
https://internet.nl/site/ssi.gouv.fr/1037013/
https://internet.nl/mail/ssi.gouv.fr/444860/

Faites ce que je dis, pas ce que je fais.

payto://void/?amount=EUR:0.02&sender-name="me" (version RFC 8905 de « mes 2 
cents »)

JFB

-- 
Vous avez du nouveau courrier dans /dev/urandom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Contact Free

2020-06-12 Par sujet Jean-Francois Billaud via frnog 
On 12/06/2020 09:16, Toussaint OTTAVI wrote:

> L'aérien, en bord de route au dessus du maquis, c'est pratique en cas > 
> d'incendie. Depuis, on remplace les poteaux bois par des poteaux en galva 
> encore plus disgrâcieux, car ils ne brûlent pas. C'est logique ;-)

Le poteau en acier galvanisé, c'est bien contre les incendies et plus encore 
contre les redoutables castors corses 🦫

Mais ça ne règle pas tous les problèmes :
https://www.begeek.fr/les-ecureuils-premiere-cause-de-dommage-a-la-fibre-aerienne-318064
 🐿


JFB

-- 
Q:  Why do ducks have flat feet?
A:  To stamp out forest fires.

Q:  Why do elephants have flat feet?
A:  To stamp out flaming ducks.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Resp Informatique pendant le confinement

2020-05-25 Par sujet Jean-Francois Billaud via frnog 
On 25/05/2020 17:46, Nico CARTRON wrote:

> On 25-May-2020 16:46 CEST,  wrote:
> 
>> J’ai ri, donc je fais suivre:
>>
>> https://twitter.com/BertrandUsclat/status/1263544339025838081?s=20 
>> 
> 
> Broute / Usclat, toujours très bon :-)
> 
> "Le Digital, c'est des gens qui travaillent dans l'informatique mais qui
> ne savent pas se servir d'un ordinateur" ahahahah 

Il ne faut pas confondre le digital et le numérique.

Le numérique, c'est des gens qui se servent d'un ordinateur
mais qui ne savent pas ce qu'est l'informatique.

JFB (pentarotopodosellaphile)

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [MISC] RE: [FRnOG] [MISC] Fibre optique, antennes, pylônes... L’inquiétante hausse des actes de vandalisme

2020-05-23 Par sujet Jean-Francois Billaud via frnog 
Bonjour,

> Après les émissions électromagnétiques ne sont pas négligeables non plus...
> 
> D'ailleurs, je suis tjrs O_o quand je vois les mini pc sans connection a la 
> terre malgré le blindage plus ou moins bien réussit... (Spoiler, si le wifi 
> n'as pas d'antenne extérieure, alors... le blindage est plus ou moins 
> merdique).

Oui pour le spoiler.
Pour les mesures : 
http://www.inrs.fr/risques/champs-electromagnetiques/evaluer-risques.html
Essayé un champ-mètre pas cher : bof. Voir les modèles sérieux dans les 
rapports de mesure de cartoradio.

La mise à la terre c'est plutôt contre l'électrocution, en combinaison avec un 
disjoncteur différentiel
(ou pour éliminer des charges statiques de surface).

Pour le rayonnement, la cage de Faraday n'a pas a être reliée à la terre.


Si le blindage n'est pas pas très efficace, on peut protéger directement les 
personnes, avec un matériau conducteur enveloppant, 
par exemple pour la tête un objet de ce genre : 
https://www.jardindeco.com/seau-a-champagne-tete-de-cerf-en-aluminium-F-866,26339


JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] Re: [MISC] L'ANSSI "recentrée" et création de l'OSIIC

2020-05-22 Par sujet Jean-Francois Billaud via frnog 
On 22/05/2020 14:56, Stephane Bortzmeyer wrote:

> Contre-troll : par contre, NXNSattack est une bonne raison de signer
> avec DNSSEC, puisque cela permet aux résolveurs de synthétiser les
> réponses négatives sans passer par les serveurs faisant autorité
>  

Il vaut mieux trop de CVE que pas assez :

https://www.securityweek.com/nxnsattack-new-dns-vulnerability-allows-big-ddos-attacks
 :
Various CVE identifiers have been assigned by the impacted vendors, including 
CVE-2020-8616 (BIND),
CVE-2020-12662 (Unbound), CVE-2020-12667 (Knot) and CVE-2020-10995 (PowerDNS)

JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] [MISC] L'ANSSI "recentrée" et création de l'OSIIC

2020-05-22 Par sujet Jean-Francois Billaud via frnog 
On 22/05/2020 10:01, Stéphane Rivière wrote:

> Un projet de restructuration de la sous-direction est en cours.
>
> Ce projet vise à rapprocher à horizon 2021 les équipes de la SDN avec
> les équipes du centre de transmissions gouvernemental (CTG) au sein
> d’une entité unique. Les compétences et ressources disponibles et
> complémentaires des deux entités existantes seront ainsi mutualisées et
> permettront de fluidifier le traitement des demandes interministérielles.
> Par ailleurs, la nouvelle structure sera directement rattachée au
> Secrétariat de la défense et de la sécurité nationale (SGDSN) ce qui lui
> permettra d’assoir son rôle de DSI du SGDSN et d’accompagner sa
> transformation numérique.

Doit-on comprendre que les capacités opérationnelles du SGDSN sont actuellement 
insuffisantes ?

> Qui nous mène sur le site du SGDN (non https) :
>
> http://www.sgdsn.gouv.fr/evenement/creation-de-loperateur-des-systemes-dinformation-interministeriels-classifies-osiic

Non https, ça confirmerait l'hypothèse précédente.

Il y a peut-être des compétences inexploitées en IPv6 et DNSSEC au SGDSN qui 
pourraient être utilisées par l'ANSSI :
https://internet.nl/site/www.ssi.gouv.fr/876195/


JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

[FRnOG] [MISC] [TROLL] Pose de fibre optique

2020-05-22 Par sujet Jean-Francois Billaud via frnog 
Il y a des gens qui posent de la fibre d'une manière étrange :
http://www7.inra.fr/opie-insectes/images/charanconrouge.jpg

L'explication :
https://www.nature.com/articles/s41598-020-60171-7

Signalé par :
http://www7.inra.fr/opie-insectes/epingle20.htm


JFB

PS Sujet plus ou moins voisin, « Réseaux de capteurs sans fils étendus dédiés 
aux collectes de données environnementales » :
https://tel.archives-ouvertes.fr/tel-01330755/document (179 pages)

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

[FRnOG] [MISC] [TROLL] Tentatives de destruction de matériel

2020-05-15 Par sujet Jean-Francois Billaud via frnog 
J'ai assisté deux fois cette semaine à des tentatives de destruction par 
percussion d'un boîtier
de raccordement téléphonique extérieur situé sur un poteau en bois.

Le malfaiteur a été identifié, il s'appelle Dendrocopos major.

À qui dois-je signaler ces faits révoltants ?


JFB


PS Notes et bibliographie :

Le tambourinage des pics est caractéristique d'une manifestation territoriale
(comme le chant des oiseaux, quoique ce chant puisse aussi procéder de la 
parade nuptiale
sans notion de territoire, ou comme suggéré plus récemment simplement du 
plaisir de chanter).
Le pic peut tambouriner sur des poteaux en bois, en béton, en métal (vu/entendu 
un pic
faire de la concurrence aux Tambours du Bronx sur un réflecteur métallique de 
lampadaire).

Les pics utilisent le plus souvent leur bec pour attraper des bestioles à 
l'intérieur du bois :
on peut voir dans les réserves naturelles des arbres morts criblés de trous.

La fiche du Pic épeiche Dendrocopos major sur oiseaux.net :
https://www.oiseaux.net/oiseaux/pic.epeiche.html

Prix Ig-Nobel 2006 d'ornithologie : Ivan R. Schwab et Philip R.A. May, 
université de Californie,
pour leurs travaux expliquant pourquoi les pic verts ne sont pas sujets aux 
maux de tête.
Liens vers les articles sur :
https://improbable.com/ig/ig-pastwinners.html#ig2006

Les prix Prix Ig-Nobel sur Wikipedia :
https://fr.wikipedia.org/wiki/Prix_Ig-Nobel

Habiter en oiseau de Vinciane DESPRET :
https://www.actes-sud.fr/catalogue/nature-et-environnement/habiter-en-oiseau



smime.p7s
Description: S/MIME Cryptographic Signature

[FRnOG] [TECH] ANSSI Recommandations de sécurité relatives à TLS - v1.2

2020-03-29 Par sujet Jean-Francois Billaud via frnog 
ANSSI Agence nationale de la sécurité des systèmes d'information
Recommandations de sécurité relatives à TLS - Version 1.2 - 26/03/2020
https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/
Licence ouverte / Open Licence (Etalab v1) : 
https://www.etalab.gouv.fr/licence-ouverte-open-licence

Pas de surprises dans ces recommandations.
La version précédente 1.1 datait du 19/08/2016.

Les protocoles recommandés :
TLS v1.2, TLS v1.3
RSA ECDSA
ECDHE secp256r1,secp384r1,secp521r1 (NIST), x25519, x448, 
brainpoolP256r,brainpoolP384r, brainpoolP512r1
DHE 2048 bits 3072 bits ou plus
AES ChaCha20 Camellia ARIA
GCM, CCM, CBC (sous condition)
SHA256 SHA384
Pas de compression
...

Suites recommandées en annexe A

Exemples d'application en annexe B
- Application à la compilation de OpenSSL
- Application à la configuration de modules applicatifs pour Apache [orienté 
serveur public] et NGINX [client maîtrisé]

Pas de recommandation pour le mail (SMTP + StartTLS) ni DOH ni DOT

Pas de lien vers des outils de test.


Avis personnel pour tout ce qui suit :
- brainpool Camellia ARIA inutiles si l'on ne maîtrise pas serveur et client 
maison (ces protocoles ne sont pas implémentés
  dans les navigateurs courants)
- CCM est à réserver pour l'Internet des objets (pas implémenté dans les 
navigateurs courants)
- on peut privilégier x25519, x448 sur les courbes du NIST (question de 
confiance)
- x448 peut servir dans le cas de serveurs mandataires
- dans le cas de SMTP + StartTLS, on observe qu'il y a toujours des acteurs 
majeurs qui sont restés à TLS 1.0, il est
  donc difficile de ne garder que TLS v1.2 et TLS v1.3

Pour HTTPS une configuration pourrait être :
TLS v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter selon les goûts personnels)

Pour SMTP + StartTLS une configuration pourrait être :
TLS v1, v1.1, v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter si pas besoin de TLS v1 et v1.1)

Les outils de test :
Qualys SSL Server Test : https://www.ssllabs.com/ssltest/index.html
Internet.nl : https://internet.nl/
Hardenize.com : https://www.hardenize.com/
STARTTLS Everywhere : https://starttls-everywhere.org/
CryptCheck : https://tls.imirhil.fr/

Pour les enregistrements DANE TLSA (3 1 1 et 2 1 1 recomandés) :
chaingen de Viktor Dukhovni : https://go6lab.si/DANE/chaingen
hash-slinger : https://github.com/letoams/hash-slinger


JFB

PS Message sous licence CC0, règles de Croker applicables.

-- 
"We can't return to normal, because the normal that we had was precisely
the problem."


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Profitons bien de l'épidémie pour violer un peu la neutralité

2020-03-16 Par sujet Jean-Francois Billaud via frnog 
On 16/03/2020 13:29, Stephane Bortzmeyer wrote:

> « Au moment où l’on se parle, nous avons plus 15.000 techniciens et
> ingénieurs qui sont mobilisés » Moins ceux et celles qui bavardent sur
> FRnog.

Ces personnes ne bavardent pas, elles font de la veille technologique.

JFB

-- 
Technological progress has merely provided us
with more efficient means for going backwards.
-- Aldous Huxley


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] HAProxy multi DC

2020-03-04 Par sujet Jean-Francois Billaud via frnog 
On 04/03/2020 23:04, Philippe Bourcier wrote:

> Bof, il y a des certifs sur IP chez Let's Encrypt...

Pas encore :

https://letsencrypt.org/upcoming-features/
Last updated: Feb 20, 2020
IP Addresses in Certificates
We are planning to add support for validating and including IP addresses in 
certificates.

JFB

PS : RFC 8738 Automated Certificate Management Environment (ACME) IP Identifier 
Validation Extension.

-- 
Cette signature n'est pas auto-référente.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fake or note Fake

2020-02-19 Par sujet Jean-Francois Billaud via frnog 
On 19/02/2020 12:32, Julien Escario wrote:

> Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors.

Pour une administration, il n'y a pas grand chose dans les en-têtes de la page.

JFB

-- 
On-line, adj.:
The idea that a human being should always be accessible to a computer.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fake or note Fake

2020-02-19 Par sujet Jean-Francois Billaud via frnog 
On 19/02/2020 11:52, Daniel via frnog wrote:

>> et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN.

> Ah ? Mes sites sont accessibles en http (qui fait redirection vers https) via 
> l'IP et cela renvoit vers un forbidden

Il va falloir penser à abandonner HTTP et a n'utiliser que HTTPS :
authentification garantie, et accessoirement nettement moins de cochonneries 
dans les logs.

>> lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site pour la 
>> requêter.

> Pour le certificat OK, il y aura erreur.

Pour ceux qui veulent éviter ce genre d'erreur sur leurs serveurs : certificats 
avec les FQDN et les IP publiques
(bientôt chez Letsencrypt : https://letsencrypt.org/upcoming-features/ )

Dans openssl.cnf :
[ alt_names ]
DNS.1 = example.net
DNS.2 = www.example.net
IP.1 = 198.51.100.1
IP.2 = 2001:db8::1

JFB

-- 
Ne croyez pas ce que vous lisez, ni ce que vous écrivez.


---
Liste de diffusion du FRnOG
http://www.frnog.org/