Pour ce tuto : http://mondedie.fr/d/5895/2 N'hésitez pas à poser vos questions et à signaler les problèmes rencontrés.

Merci pour le tuto. On peut l'attribué à un serveur NAS ?

Aucune idée, j'ai jamais tenté sur mon NAS. Mais ça doit pouvoir se faire.

Ok je test et je fais un retour Merci

De même, j'essaierai peut-être ce soir.

Super tuto, il est clair et bien expliqué. Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut " ssl_trusted_certificate " dans la configuration du vhost : ssl on; ssl_certificate /etc/nginx/keys/votre-domaine.fr.crt-unified; ssl_certificate_key /etc/nginx/keys/votre-domaine.fr.key; ssl_trusted_certificate /etc/nginx/keys/ca.pem; L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé. ssl_stapling on; ssl_stapling_verify on; C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6 NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox. Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?

Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ? Absolument.

Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx} : Page 10

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Jedediah

Tu peux me copier/coller ton fichier de conf jbnitro stp ?

jbnitro

tien celui de rutorrent.conf

http://pastebin.com/PCPaDXyV
https://www.ssllabs.com/ssltest/analyze.html?d=infobzh.eu

Edit: je crois avoir trouvé c'etait le postfixadmin.conf qui avait la priorité
http://pastebin.com/iQAVjmS2

Jedediah

Bah...
T'as un A+ ?

jbnitro

oui je viens de changer le postfixadmin c'est lui qui avait un certificat de 10 ans par défaut avec le tuto mail de hardware

cocolabombe0

C'est possible d'avoir en sha-2 car mon certificat que je viens de faire est détecté en SHA-1.

Jedediah

C'est Chrome qui te dit ça ?

cocolabombe0

Oui c'est chrome qui le dit.

Jedediah

Ca vient du navigateur, pas du certificat.
Malheureusement y'a pas grand chose qu'on puisse faire pour masquer ce message.

cocolabombe0

Ok merci du renseignement.

spectre

Salut,

Erreur lors du redémarrage de Nginx

[....] Restarting nginx: nginxnginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/ssl/nginx/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509 check_private_key:key values mismatch)
nginx: configuration file /etc/nginx/nginx.conf test failed

arckosfr

Tu as du mal coller ton certificat

sa m'est déjà arrivée, ou alors tu as pas donné le bon server.crs sur startssl

cocolabombe0

Vous arriver a vous logger? Car moi j'ai un problème SSL quand je veux me connecter à startSSL

arckosfr

a l'inscription tu recois un certif de connexion startssl, si tu la pas sur ton pc tu pourras pas te connecter

gormson

Bonjour,

Bon j'ai résolu mon problème de redirection mail en utilisant les services d'always data... du coup j'ai créé un certificat pour mon rutorrent (rutorrent.domaine.tld).

Lorsque j'utilise la synthaxe ci dessous pour mon rutorrent.conf

en allant sur http://rutorrent.domaine.tld je ne suis pas redirigé vers le https
et sur rutorrent la page qui s'affiche donne :

Bad response from server: (0 [error,getplugins]) Error: NETWORK_ERR: XMLHttpRequest Exception 101

Mais si je recharge la page... redirection sur https...
j'ai aussi essayé le code du tuto avec le rewrite... même résultat...

je précise qu'en allant directement sur l'adresse en https, je suis bien en ssl...

Une idée?

server {
    listen 80;
    server_name rutorrent.domaine.tld;

    return 301  https://rutorrent.domaine.tld$request_uri;
}

server {
        listen 443 ssl;
        server_name rutorrent.domaine.tld;

        index index.html index.php;
        charset utf-8;
        client_max_body_size 10M;
        ##**********************SSL*****************
        ssl on;

        ssl_certificate /etc/ssl/nginx/domaine.tld.crt-unified;
        ssl_certificate_key /etc/ssl/nginx/server.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";

        ssl_prefer_server_ciphers on;
        ssl_ecdh_curve secp384r1;

        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        ssl_stapling        on;
        ssl_stapling_verify on;

        resolver 8.8.4.4 8.8.8.8 valid=300s;
        resolver_timeout 10s;

        add_header X-Frame-Options "DENY";
        add_header X-Content-Type-Options "nosniff";
        ##*******************************************

        access_log /var/log/nginx/rutorrent-access.log combined;
        error_log /var/log/nginx/rutorrent-error.log error;

        error_page 500 502 503 504 /50x.html;
        location = /50x.html { root /usr/share/nginx/html; }

        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

cocolabombe0

Oui, il est installé pourtant le certificat. Je me rappelle qu'il me l'avait même redemander une fois.

edit: et je ne sais plus où je l'ai mis sur mon ordinateur.
Dans chrome, j'ai un certificat class 1 client, class 1 server et class 2 server.

gormson

Bon au final mon problème c'est résolu tout seul après avoir vidé mes cookies et redémarrer mon navigateur...
Simple

gormson

Je viens de tester sur les sites qui sont préconisés dans le tuto...
ben je me tape un F sur CryptCheckRails
et un C sur SSLLabs...

Pour le F dans "Danger" j'ai DES3 et dans erreur SSLV3
En gros j'ai un 20/100 pour la catégorie protocole.

Sur SSLLABS :

This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate.

Une idée des raisons?

Wonderfall

Pour pallier à ton problème et sécuriser TLS par la même occasion, ajoute (ou modifie) ça dans ton vhost :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
ssl_session_cache         shared:SSL:10m;
ssl_session_timeout       10m;
ssl_ecdh_curve            secp521r1;

Si ton vhost inclut les paramètres présents dans /etc/nginx/conf.d/ciphers.conf, fais les modifications sur ce dernier fichier.

gormson

Je viens de tenter comme tu me conseilles, j'arrive à ça dans mon fichier owncloud.conf

        ssl on;
        ssl_certificate /etc/ssl/nginx/cloud.gormbox.fr.crt-unified;
        ssl_certificate_key /etc/ssl/nginx/server.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;               
        include /etc/nginx/conf.d/ciphers.conf;
        ssl_ecdh_curve secp521r1;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;

        ssl_stapling        on;
        ssl_stapling_verify on;

        resolver 8.8.4.4 8.8.8.8 valid=300s;
        resolver_timeout 10s;

        add_header X-Frame-Options "DENY";
        add_header X-Content-Type-Options "nosniff";

Et dans mon fichier ciphers.conf

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;

et je suis toujours à C chez SSL Labs et avec la même vulnérabilité

je précise que j'avais fais le tuto logjam
non noamelment j'avais ça dans le ciphers.conf

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA26:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES56-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:ES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

Wonderfall

Tu pourrais m'envoyer par MP le site concerné et la configuration du vhost + ciphers.conf ?
Avec cette configuration tu devrais avoir A/A+.

« Page précédente Page suivante »