Les navigateurs bloquent l'accès aux sites HTTPS utilisant les protocoles TLS 1.0 et 1.1. Plus de 850 000 sites web utilisent encore les anciens protocoles TLS 1.0 et 1.1, qui devraient être supprimés de la plupart des principaux navigateurs dans le courant du mois.
Il s'agit notamment de sites web de grandes banques, de gouvernements, d'organismes de presse, de télécommunications, de magasins de commerce électronique et de communautés Internet, selon un rapport publié aujourd'hui par la société technologique britannique Netcraft. Les 850 000 sites web utilisent tous le HTTPS, mais sur une version peu sécurisée.
Ils prennent en charge des connexions HTTPS via des certificats cryptographiques basés sur les protocoles TLS 1.0 et TLS 1.1. Il s'agit de protocoles anciens, publiés respectivement en 1996 et 2006. Ces protocoles utilisent des algorithmes cryptographiques faibles et sont vulnérables à une série d'attaques cryptographiques qui ont été divulguées au cours des deux dernières décennies, telles que BEAST, LUCKY 13, SWEET 32, CRIME et POODLE. Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave. Hello la compagnie, je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez. Activer DoH sous Firefox Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ». Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ». Puis cochez la case « Activer le DNS via HTTPS ». Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology. Vous pouvez désormais obtenir et activer simplement un certificat Let's Encrypt pour votre NAS Synology.
Pour cela, il vous suffit d'utiliser la version 6.0 bêta 2 du DSM et suivre quelques petites étapes. Hier, Synology a mis en ligne la seconde bêta de son DSM 6.0. Attendue par tous les adeptes de la marque, elle intègre de nombreuses nouveautés annoncées lors de la présentation (voir notre analyse), mais surtout, elle introduit le support de Let's Encrypt. Synology propose un support simple de Let's Encrypt.
Certificat SSL : comment choisir ? OpenSSH passe à l'authentification FIDO. Passé en version 8.2, OpenSSH prend désormais en charge l’authentification multifacteur FIDO U2F.
Vous avez des dispositifs à la norme FIDO U2F ? OpenSSH les prend désormais en charge pour renforcer les procédures d’authentification. Ils peuvent être associés à deux types de clés exploitant la cryptographie sur courbes elliptiques (ECDSA P-256 et Ed25519). OpenSSH prend en charge les clés de sécurité FIDO/U2F. OpenSSH, l'utilitaire le plus populaire d'Internet pour la gestion de serveurs distants, supporte maintenant le protocole de sécurité FIDO/U2F.
Ainsi, à partir d'OpenSSH 8.2, sorti vendredi, les utilisateurs peuvent configurer une clé de sécurité matérielle lors de l'authentification via SSH sur un serveur distant. Après s'être connectés à un serveur en utilisant leur nom d'utilisateur et leur mot de passe, ou un certificat d'authentification SSH, les utilisateurs devront alors présenter une clé de sécurité basée sur le protocole FIDO/U2F, en USB, Bluetooth ou NFC, comme deuxième preuve d'identité. L'utilisation d'une clé de sécurité est l'une des méthodes d'authentification multifactorielle les plus solides à ce jour. L'utilisation de l'authentification mutlifactorielle, ou 2FA (authentification à deux facteurs), est le moyen le plus simple d'empêcher des pirates de deviner ou de forcer vos mots de passe SSH pour prendre le contrôle de vos serveurs. Gérer plus confortablement les certificats SSL/TLS Let’s Encrypt – Microlinux.
Pour beaucoup d’entre nous, Let’s Encrypt a révolutionné l’hébergement de sites sécurisés depuis la sortie de sa première version bêta fin 2015.
J’ai publié un article détaillé sur Certbot et Let’s Encrypt en mars 2019. Cet article fournit un petit script shell « vite fait mal fait » à la fin pour faciliter la génération et le renouvellement automatique des certificats. Le script a pas mal évolué depuis cette première version, et j’aimerais partager sa dernière mouture letsencrypt.sh ici. Si vous gérez un certain nombre d’hébergements sécurisés sur un seul serveur dédié, ce script vous facilitera la vie. Certificats SSL : La plupart des erreurs causées par des bugs et erreurs d’interprétation. Les bugs logiciels et les interprétations erronées des normes sont au cœur de la plupart des cas de certificats SSL délivrés de manière incorrecte, comme le montre une étude universitaire.
Selon les chercheurs, ces problèmes sont à l’origine de 42 % des incidents connus. L’étude a été menée par une équipe de la School of Informatics and Computing de l’université Bloomington en Indiana aux États Unis. Les chercheurs ont examiné 379 cas de certificats SSL délivrés par erreur, sur un total de plus de 1 300 incidents connus. Le FBI met en garde contre les attaques qui contournent l'authentification multifacteurs.
Le FBI (Federal Bureau of Investigation) a envoyé le mois dernier un avertissement de sécurité aux partenaires du secteur privé au sujet des récentes attaques contre des organisations et leurs employés, susceptibles de contourner les solutions d'authentification à plusieurs facteurs "Le FBI a observé des acteurs contournant l'authentification multifactorielle par des attaques d'ingénierie sociale et techniques communes", écrit le FBI dans une notification au secteur privé envoyée le 17 septembre.
Pas une première De nos jours, il existe de nombreuses façons de contourner l’authentification multifacteurs, mais l'alerte du FBI a spécifiquement mis en garde contre le SIM swapping, les vulnérabilités des pages en ligne gérant l’authentification multifacteurs et l'utilisation de proxys transparents tels que Muraen et NecroBrowser. Différence entre cryptage et hachage - WayToLearnX. La sécurité et l’efficacité sont deux paramètres très importants dans les systèmes de communication et vous devez avoir entendu parler des termes, cryptage et hachage.
Peu importe, ces deux termes peuvent être une source de confusion, mais cet article cherche à dissiper toute confusion en donnant un aperçu complet des deux. QCM Securité informatique – Partie 1QCM en réseau informatique avec la correction pour la préparation des concours, des tests, aux examens et aux certifications. Ces questions sont tirés d’un vrai…Lire plus Algorithme de Hachage. Une présentation approfondie du chiffrement de bout en bout : comment les systèmes de chiffrement à clé publique fonctionnent-ils ? Utilisé correctement, le chiffrement de bout en bout.
Différencier l'encodage, le chiffrement et le hachage. Après m'être moi-même confondu entre les termes, voici un bref résumé expliquant les différences entre le chiffrement, le hashing (hachage), et l'encodage. Encodage Processus de modification d'une valeur (texte, fichier, …) pour un autre. Exemple : - Encodage d'une vidéo avec un codec plus performant - Compression d'un document (zip) - Fonction retournant les 15 premiers caractères d'une phrase (exemple simpliste...) Hachage une fonction de hachage est un algorithme permettant de modifier un texte (appelé message) en valeur de longueur fixe (appelé hash). Exemples de 2 fonctions PHP : <? // md5 est une fonction de hachage qui retourne toujours 32 caractères md5('test'); // 098f6bcd4621d373cade4e832627b4f6?