Catégories
Actualité

Google Chrome rend le HTTPS obligatoire

La prochaine mise à jour de Google Chrome, version 68, modifie l’indication de sécurité du site web visité. Si le HTTPS est un protocole sécurisé pour que l’internaute soit vraiment sûr d’accéder au site sur lequel il souhaite aller, grâce à un certificat d’authentification validé par une autorité tierce, et pour lui assurer la confidentialité des échanges entre son ordinateur ou son smartphone et le serveur qui héberge le site internet.

Techniquement, une couche de chiffrement SSL ou TLS est combinée au protocole HTTP standard et est devenu la norme depuis 2017, année où les navigateurs phares Mozilla Firefox et Google Chrome ont décidé de signaler les sites web qui recueillent des informations concernant l’utilisateur et qui ne sont pas sécurisés. Par information personnelle, on entend les coordonnées bancaires lors d’un achat en ligne, l’adresse postale ou e-mail de l’internaute ou tout simplement son pseudo lors d’un commentaire sur un blog ou un forum. Ces informations sont personnelles et doivent être protégées pour qu’aucun hackeur ne puisse les intercepter et en faire un usage frauduleux. Cela fait partie des recommandations de la CNIL et plus récemment du RGPD.

Google Chrome donc, veut afficher plus clairement quels sites sont protégés mais surtout dénoncer ceux qui ne le sont pas. Jusqu’à présent, seul un cadenas suivi d’un message en vert indiquait les sites HTTPS mais la version 68 du navigateur mais désormais, un message explicite « Non sécurisé » ou « No secure » précédera l’adresse web du site en question.

Par exemple, le site larousse.fr est toujours en http simple (non https) et s’affiche désormais comme un site non sécurisé sur le navigateur internet Google Chrome à partir de la version 68 :

Pour le webmaster ou l’agence qui édite des sites pour ses clients, basculer en HTTPS devient une question de survie sur internet. Les internautes risquent de bouder les sites restés en HTTP_tout_court et les moteurs de recherche vont faire baisser la réputation de ces adresses.

De son côté, l’internaute n’a rien à faire. Il ne peut pas sécuriser lui-même le site internet qu’il visite et il doit donc subir le sérieux de l’organisation qui gère ce site web. Google Chrome affiche l’information, l’internaute en prend connaissance et peut quitter le site pour préférer une alternative plus sûre. Si les sites HTTP ne sont pas un problème pour consommer du contenu (lire un dossier, chercher de l’information), le HTTPS s’avère obligatoire pour acheter en ligne ou accéder à un compte personnel avec identifiant et mot de passe.

En savoir plus sur les nouveautés de Google Chrome 68 et le HTTPS dans cet article 1&1 ainsi que cette page dédiée aux développeurs web.

Catégories
Sécurité

Ajouter le support de TLS 1.1 et TLS 1.2 à Windows Server 2008

Windows Server 2008, système d’exploitation que l’on peut maintenant qualifié d’obsolète, est encore présent dans les entreprises. Pas la version R2 sortie en 2009 mais l’édition initiale de début 2008, faisant suite à WS 2003 R2. Dix ans plus tard, son support n’est plus assuré par Microsoft mais s’il est encore utilisé en tant que serveur de production, sa protection doit encore être assurée. Les sécurités de chiffrement type SSL et TLS doivent donc être mises à niveau pour protéger les machines qui hébergent des sites internet IIS, de la messagerie Exchange…

Fort heureusement, si le support est néanmoins terminé, il est toujours possible d’ajouter la prise en charge des chiffrements les plus récents. En effet, Microsoft livre un correctif pour offrir le support de TLS 1.1 et 1.2 à Windows Server 2008 SP2, de dix ans d’âge. Précision : ce fix est gratuit, le seul prérequis est d’avoir le Service Pack 2 d’installé et bien sûr d’avoir un certificat SSL TLS compatible avec cette version.

Evidemment, le plus sécurisant sera de mettre à jour l’OS du serveur pour le passer en Windows Server 2016 qui bénéficie du plus long cycle de vie actuel de maintenance, tant au niveau de la sécurité que des fonctionnalités.

 

Windows Server 2008 : activer TLS 1.1 et TLS 1.2

A lire : Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2

Télécharger le KB4019276 (windows6.0-kb4019276-x64 ou windows6.0-kb4019276-x86)

Catégories
Expert

Installer un certificat SSL sur Exchange 2007

Le serveur de messagerie Microsoft Exchange est renouvelé tous les trois ans environ : Exchange 2000, 2003, 2007, 2010, 2013, 2016. Bien sûr, il est conseillé d’utiliser la dernière version en date mais il n’est pas simple de migrer un serveur de production aussi sensible que celui qui gère les mails en entreprise. L’utilisation d’un cluster qui regroupe plusieurs Exchange n’est pas plus facile à mettre à jour, c’est pour cette raison que de nombreuses organisations tournent encore avec Exchange 2010 voire 2007, bien que le support officiel Microsoft soit terminé sur cette version du système d’exploitation serveur. Et puisqu’il faut continuer de protéger les flux, l’installation d’un certificat SSL est toujours possible sur Internet Information Services (IIS) afin de sécuriser Exchange ou un site web.

Ce tutoriel décrit comment installer un (nouveau) certificat SSL pour Exchange 2007 sur un Windows Server avec IIS. Bien sûr, la procédure est quasiment équivalente avec les autres versions de Microsoft Exchange.

 

Microsoft Exchange 2007 : mettre en place un certificat SSL / TLS

1. Une fois le certificat téléchargé sur le compte Symantec, Digicert, GoDaddy ou autre, copier les fichiers (p7b, pxf…) sur le disque dur du serveur Microsoft Exchange.

2. Démarrer Exchange Management Shell (menu Démarrer, Programmes, Microsoft Exchange Server 2007).

3. Copier coller cette commande en adaptant le chemin et nom de fichier :

Import-ExchangeCertificate -Path C:\certificatssl.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS" 

Adapter également les services sur lesquels installer le nouveau certificat SSL, selon l’usage fait de ce serveur Exchange.

4. La commande exécutée, le certificat est en place. Vérifier sa prise en compte par une autre commande PowerShell :

Get-ExchangeCertificate -DomainName webmail.entreprise.com

En modifiant le nom de domaine (après DomainName).

5. La colonne Services indique ce qui a été configuré :

  • S : SMTP
  • I : IMAP
  • P : POP3
  • W : Web (IIS)

 

Thumbprint

Si le certificat n’est pas correctement installé, on peut relancer la commande Enable-ExchangeCertificate en indiquant le thumbprint du certificat, à retrouver dans les détails du fichier de certificat.

Enable-ExchangeCertificate -ThumbPrint [empreinte] -Services "SMTP, IMAP, POP, IIS"

Où [empreinte] est la longue série de chiffres et de lettres, sans les espaces.

 

Tester le certificat SSL / TLS

On peut utiliser un service comme Symantec CryptoReport pour valider le nouveau certificat SSL / TLS :

https://cryptoreport.websecurity.symantec.com/checker/

Catégories
Expert Sécurité

FileZilla Server : activer le FTPS (FTP over TLS)

Le protocole FTP est utilisé depuis de nombreuses années pour échanger des fichiers. Ce moyen de communication a peu évolué mais la réglementation européenne RGPD / GDPR peut changer les choses. En effet, les entreprises sont tenues d’assurer la protection et la confidentialité des informations personnelles sur leurs clients et fournisseurs, cela peut donc aussi concerner les échanges par FTP. Pour se conformer à la loi, il faut chiffrer les transferts FTP avec TLS ou SSL. Avec le FTPS, pour FTP over TLS ou over SSL, est sécurisé de manière explicite ou implicite. Le FTPS peut aussi s’écrire FTPES.

Ce tutoriel explique comment configurer le FTPS (FTP over TLS) sur un serveur FTP FileZilla Server. Ce logiciel open source et gratuit est très populaire comme serveur FTP sur système d’exploitation Microsoft Windows.

 

Activer le FTP over TLS (FTPS) sur FileZilla Server

1. Ouvrir la console d’administration de FileZilla Server.

2. Aller dans le menu Edit, Settings.

3. Cliquer sur le menu « FTP over TLS settings » .

4. Cocher la ligne « Enable FTP over TLS support (FTPS) » .

5. Définir un port de connexion, par défaut le 990.

6. Cliquer sur le bouton « Generate new certificate » et remplir les informations demandées :

  • Key size : 4096 bits
  • 2-Digit country code : FR pour France, CA pour Canada, BE pour Belgique, CH pour la Suisse, DZ pour Algérie…
  • Full State or Province : nom de l’Etat ou de la région
  • Locality (City) : ville
  • Organization : nom de l’entreprise
  • Organization unit : nom du service, par exemple
  • Contact E-mail : adresse mail de contact
  • Common name : adresse du serveur
  • Save key and certificate to this file : où enregistrer le fichier de certificat

Cliquer sur « Generate certificate » pour créer le certificat avec la clé privée RSA.

7. Par défaut, le simple FTP (port 21) sera encore activé : cocher la ligne « Disallow plain unencrypted FTP » pour refuser les futures connexions par ftp:// :

Les autres informations de configuration sur FTPS sur FileZilla Server se trouvent sur le wiki du logiciel open source.

8. Valider par OK. Le serveur FTP se relance et devient FTPS uniquement. Les prochaines connexions de clients FTP devront se faire par FTPS (ftps://) et non plus par FTP (ftp://). Le client FTP FileZilla gère ce protocole.

 

Connexion à un serveur FTPS

1. Ouvrir un client FTP et demander une connexion au serveur distant.

2. Accepter le certificat proposé.

3. La connexion et les transferts FTP sont sécurisés.

Techniquement, la session FTPS utilise le protocole TLS 1.2, l’échange de clé ECDHE-RSA, le chiffrement AES-256-GCM et le MAC : AEAD.

 

Connexion en FTP à un serveur uniquement FTPS

Si le serveur FileZilla est configuré pour n’accepter que les connexions sécurisées FTPS, une tentative de connexion par FTP sur port 21 sera soldée par un échec :

Catégories
Expert Sécurité

Installer ou renouveler un certificat SSL dans Microsoft IIS

Les systèmes d’exploitation Windows peuvent héberger des sites web sans avoir à installer un serveur Apache ou WAMP, il s’agit du serveur IIS. Pour aller plus loin qu’une simple mise à disposition de pages html ou php, et pour répondre aux exigences de sécurité du web d’aujourd’hui, il est recommandé de protéger ses pages avec un certificat SSL pour diffuser des pages https. Un tel certificat s’achète auprès d’un fournisseur comme Symantec DigitCert, GoDaddy, Thawte, etc. Pour acheter un certificat SSL, il faudra sûrement fournir un CSR dont voici un tutoriel pour générer un Certificate Signing Request.

Le serveur Microsoft Internet Information Services, plus communément appelé IIS (ou 2IS à l’oral) est un composant gratuit qui s’installe comme un rôle supplémentaire sur Windows Server et sur les versions Workstation de Windows (10, 8.1, 7…). Il sert à héberger des sites web mais aussi des services d’accès à distance comme les RemoteApps via RDS (Remote Desktop Services).

Ce tutoriel explique comment configurer Microsoft IIS pour ajouter un certificat SSL ou renouveler un certificat SSL obsolète puisque ceux-ci ont une durée de vie (un an, deux ans, trois ans…).

 

Microsoft IIS : installer ou remplacer un certificat SSL

Ajouter le certificat sur le serveur Windows

1. Télécharger le certificat SSL chez le fournisseur. Le fichier doit être au format CRT (certificat de sécurité) ou P7B (certificat PKCS #7). Déposer ces fichiers sur le serveur web IIS qui a besoin de ce certificat HTTPS.

2. Sur le serveur Windows IIS, ouvrir une console MMC : touches Windows + R (Exécuter), « mmc » :

3. Ouvrir le menu Fichier et aller sur « Ajouter / supprimer un composant logiciel enfichable » (snap-in en anglais) :

4. A gauche, cliquer sur « Certificats » puis sur le bouton central « Ajouter » :

5. Choisir « Un compte d’ordinateur » (Computer account), « L’ordinateur local » (Local computer) et cliquer sur Terminer.

6. De retour sur la fenêtre « Ajouter ou supprimer des composants logiciels enfichables » on constate que le composant « Certificats (ordinateur local) » a été ajouté sur la partie de droite. Cliquer sur « OK » en bas de fenêtre pour valider l’ajout du composant snap-in.

7. Dans la Console1, dérouler « Racine de la console » , « Certificats (ordinateur local) » et « Autorités de certification intermédiaires » (Intermediate Certification Authorities en anglais). Dans le cas d’un renouvellement, on peut voir la liste des certificats existants et obsolètes qui ont déjà été configurés sur le serveur 2IS.

8. Faire un clic droit sur « Autorités de certification intermédiaires » pour choisir Toutes les tâches, Importer.

9. Faire Suivant pour valider « Ordinateur local » et charger le fichier PKCS #7 (fichier .p7b précédemment téléchargé). Attention, il faut changer le Type de fichier à ouvrir pour pouvoir trouver le fichier d’extension .p7b (chez GoDaddy par exemple, il s’agit d’un fichier gd-g2_iis_intermediates.p7b) :

10. A la question du « Magasin de certificats » , choisir « Placer tous les certificats dans le magasin suivant » et valider « Autorités de certification intermédiaires » :

11. L’importation peut prendre quelques secondes pendant lesquelles on se demande s’il se passe quelque chose. Un message avertit de l’importation réussie du certificat SSL.

 

Ajouter le certificat dans IIS

Le certificat SSL a été ajouté sur le serveur Windows mais pas encore dans le serveur web IIS. C’est ce que nous allons faire dans cette partie du tutoriel.

1. Ouvrir le Gestionnaire de serveur Windows. Dans le menu Outils, cliquer sur « Gestionnaire de services internet (IIS) » pour ouvrir la console de gestion IIS.

2. Dans la partie de gauche « Connexions » , cliquer sur le serveur web qui nécessite le certificat SSL.

3. Au centre de l’écran (Page d’accueil de NomServeurWeb), trouver et doubler cliquer sur « Certificats de serveur » dans le groupe IIS.

4. Dans le menu « Actions » à droite, cliquer sur « Terminer la demande de certificat » (Complete Certificate Request en anglais) :

5. Remplir les informations demandées :

  • Charger le fichier CRT délivré par le fournisseur de certificat SSL
  • Donner un nom pour reconnaitre ce certificat
  • Sélectionner le magasin « Personnel » pour ce nouveau certificat

6. Après validation, le nouveau certificat s’ajoute aux Certificats de serveur web.

7. Dans ce Gestionnaire de services Internet IIS, retourner sur le menu de gauche « Connexions » et dérouler NomServeurWeb, Sites et sélectionner le site qui a besoin du certif SSL (par exemple Default Web Site).

8. Dans « Actions » à droite, cliquer sur « Liaisons » (Bindings).

9. Cliquer sur « Ajouter » et configurer les paramètres demandés pour https et le port 443. Laisser « Adresse IP » en « Toutes non attribuées » et spécifier quel certificat utiliser. Valider et Fermer.

Dans le cadre d’un renouvellement, sélectionner la ligne « https » et « Modifier » : dans Certificat SSL, sélectionner le nouveau certificat identifiable grâce au « nom convivial » défini plus tôt. Valider et Fermer.

10. Dans le panneau « Actions » à droite, cliquer sur « Redémarrer » pour relancer le serveur web et prendre en compte le (nouveau) certificat SSL tout juste configuré.

11. Tester le certificat en allant sur le site internet avec « https » ou charger l’application web qui nécessitait le SSL (par exemple une application publiée sur RDS).

Catégories
Expert Sécurité Tutoriel

Générer un Certificate Signing Request (CSR) pour Certificat SSL

Acheter un certificat SSL nécessite de générer un CSR, Certificate Signing Request. Ce tutoriel explique comment le créer à partir d’un serveur internet IIS, en version 8 comme embarquée avec le système Windows Server 2012 / R2 mais ce guide convient également pour Windows Server 2016 avec IIS 10. Le certificat SSL servira à sécuriser un site web (https) ou des applications publiées (RDS) via un serveur web Microsoft IIS.

Le CSR se génère en quelques instants à partir du serveur web IIS. Cette demande de signature du certificat est envoyé par le demandeur (vous-même) à une autorité de certification (Verisign, GoDaddy…) pour demander un certificat d’identité numérique. Les formats les plus courants pour le CSR sont les PKCS #7 et #10. Le PKCS (Public Key Cryptographic Standards, pour standards de cryptographie à clé publique, définis par les Laboratoires RSA Security) succède au PFX de Microsoft et notons que OpenSSL utilise le format PKCS#12 (fichier de type .p12).

 

Générer un Certificate Signing Request (CSR) depuis IIS

1. Dans la console Gestionnaire de serveur (Server manager), ouvrir Outils et Gestionnaire des services internet (IIS).

2. Dans le panneau de gauche Connexions, cliquer sur le serveur concerné.

3. Sur l’écran du milieu, dans le groupe IIS, double cliquer sur l’icône Certificats de serveur.

4. Dans le panneau Actions à droite, cliquer sur Créer une demande de certificat.

5. Les champs à remplir sont les suivants :

  • Nom commun (CN) : le nom complet FQDN du domaine
  • Organisation (O) : nom de l’entreprise
  • Unité d’organisation (OU) : pour différencier les départements de l’entreprise ou mettre un nom générique
  • Ville (L) : ville du siège de l’entreprise
  • Département/région (S) : la région du siège de l’entreprise
  • Pays/région (C) : le pays du siège de l’entreprise

6. Spécifier le fournisseur de services de chiffrement, selon les besoins et ce que propose le prestataire qui fournira le certificat SSL.

7. Donner un nom de fichier pour la génération du CSR.

8. Ouvrir le fichier texte généré, la demande de certificat est le code indéchiffrable compris entre —–BEGIN NEW CERTIFICATE REQUEST—– et —–END NEW CERTIFICATE REQUEST—– .

9. Copier tout ce code et le coller dans le formulaire de demande de certificat SSL du fournisseur.