Introduction à DNSSEC

Le système DNS permet de faire l'association entre un nom humainement comprésensible et une adresse IP (et vice-versa). Le fonctionnement du DNS a été défini et implémenté dans les années 80, à une époque où la sécurité sur internet n'était pas encore une préoccupation.

De ce fait, par design, le système DNS, par son protocole de base, est vulnérable, en ce sens qu'il est basé sur la confiance. Nos ordinateurs posent des questions au serveur DNS, reçoivent des réponses, mais n'ont pas les moyens de s'assurer que la réponse qu'ils reçoivent est légitime. l'extension DNSSEC, définie dès 1999 par la RFC 2535 et complété par les RFC 4033, RFC 4034 et RFC 4035, permet de combler ce manque en introduisant une chaine de signature numérique jusqu'à la signature des enregistrements d'une zone DNS par son propriétaire, chaine de singature qui pourra être vérifiée par quiconque aura besoin de l'information.

Nous allons donc voir comment s'assurer que notre resolveur vérifie les signatures DNSSEC et si non, comment le mettre en place, puis comment signer sa zone dns et la gérer.

more ...


Migration d'apache 2.2 + mod_auth_mysql vers 2.4 + mod_authn_dbd

Depuis longtemps, une partie de mon serveur web, servi par un apache 2.2, était protégée par une authentification de type basique dont la base d'utilisateurs se trouvent dans une table mysql. Lors de l'upgrade du serveur en Ubuntu 13.10, apache est passé de la version 2.2 à la version 2.4.

Et soudain, c'est le drame. De grands changements on eu lieu du côté des modules d'authentification en général et celui gérant les bases mysql comme base d'utilisateurs en particulier.

more ...

SSL/TLS hardening for apache 2.4

Je suis tombé au détour du web sur un super outil de test de votre serveur httpS qui vous dit tous les protocoles et "cipher suites" que votre serveur autorise, ainsi que les cipher suites utilisée par chaque navigateur. Vous pouvez tester votre site httpS ici : https://www.ssllabs.com/ssltest/

Evidemment, en ce qui me concerne, avec la configuration par défaut, le résultat n'a pas été très glorieux : ssl_before

Donc, la question, c'est quelle est "la bonne" configuration à appliquer à son serveur apache pour faire du SSL qui soit un minimum mieux sécurisé que la configuration par défaut.

more ...