Catégories
Actualité

Google Chrome rend le HTTPS obligatoire

La prochaine mise à jour de Google Chrome, version 68, modifie l’indication de sécurité du site web visité. Si le HTTPS est un protocole sécurisé pour que l’internaute soit vraiment sûr d’accéder au site sur lequel il souhaite aller, grâce à un certificat d’authentification validé par une autorité tierce, et pour lui assurer la confidentialité des échanges entre son ordinateur ou son smartphone et le serveur qui héberge le site internet.

Techniquement, une couche de chiffrement SSL ou TLS est combinée au protocole HTTP standard et est devenu la norme depuis 2017, année où les navigateurs phares Mozilla Firefox et Google Chrome ont décidé de signaler les sites web qui recueillent des informations concernant l’utilisateur et qui ne sont pas sécurisés. Par information personnelle, on entend les coordonnées bancaires lors d’un achat en ligne, l’adresse postale ou e-mail de l’internaute ou tout simplement son pseudo lors d’un commentaire sur un blog ou un forum. Ces informations sont personnelles et doivent être protégées pour qu’aucun hackeur ne puisse les intercepter et en faire un usage frauduleux. Cela fait partie des recommandations de la CNIL et plus récemment du RGPD.

Google Chrome donc, veut afficher plus clairement quels sites sont protégés mais surtout dénoncer ceux qui ne le sont pas. Jusqu’à présent, seul un cadenas suivi d’un message en vert indiquait les sites HTTPS mais la version 68 du navigateur mais désormais, un message explicite « Non sécurisé » ou « No secure » précédera l’adresse web du site en question.

Par exemple, le site larousse.fr est toujours en http simple (non https) et s’affiche désormais comme un site non sécurisé sur le navigateur internet Google Chrome à partir de la version 68 :

Pour le webmaster ou l’agence qui édite des sites pour ses clients, basculer en HTTPS devient une question de survie sur internet. Les internautes risquent de bouder les sites restés en HTTP_tout_court et les moteurs de recherche vont faire baisser la réputation de ces adresses.

De son côté, l’internaute n’a rien à faire. Il ne peut pas sécuriser lui-même le site internet qu’il visite et il doit donc subir le sérieux de l’organisation qui gère ce site web. Google Chrome affiche l’information, l’internaute en prend connaissance et peut quitter le site pour préférer une alternative plus sûre. Si les sites HTTP ne sont pas un problème pour consommer du contenu (lire un dossier, chercher de l’information), le HTTPS s’avère obligatoire pour acheter en ligne ou accéder à un compte personnel avec identifiant et mot de passe.

En savoir plus sur les nouveautés de Google Chrome 68 et le HTTPS dans cet article 1&1 ainsi que cette page dédiée aux développeurs web.

Catégories
Sécurité

Ajouter le support de TLS 1.1 et TLS 1.2 à Windows Server 2008

Windows Server 2008, système d’exploitation que l’on peut maintenant qualifié d’obsolète, est encore présent dans les entreprises. Pas la version R2 sortie en 2009 mais l’édition initiale de début 2008, faisant suite à WS 2003 R2. Dix ans plus tard, son support n’est plus assuré par Microsoft mais s’il est encore utilisé en tant que serveur de production, sa protection doit encore être assurée. Les sécurités de chiffrement type SSL et TLS doivent donc être mises à niveau pour protéger les machines qui hébergent des sites internet IIS, de la messagerie Exchange…

Fort heureusement, si le support est néanmoins terminé, il est toujours possible d’ajouter la prise en charge des chiffrements les plus récents. En effet, Microsoft livre un correctif pour offrir le support de TLS 1.1 et 1.2 à Windows Server 2008 SP2, de dix ans d’âge. Précision : ce fix est gratuit, le seul prérequis est d’avoir le Service Pack 2 d’installé et bien sûr d’avoir un certificat SSL TLS compatible avec cette version.

Evidemment, le plus sécurisant sera de mettre à jour l’OS du serveur pour le passer en Windows Server 2016 qui bénéficie du plus long cycle de vie actuel de maintenance, tant au niveau de la sécurité que des fonctionnalités.

 

Windows Server 2008 : activer TLS 1.1 et TLS 1.2

A lire : Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2

Télécharger le KB4019276 (windows6.0-kb4019276-x64 ou windows6.0-kb4019276-x86)

Catégories
Expert

Installer un certificat SSL sur Exchange 2007

Le serveur de messagerie Microsoft Exchange est renouvelé tous les trois ans environ : Exchange 2000, 2003, 2007, 2010, 2013, 2016. Bien sûr, il est conseillé d’utiliser la dernière version en date mais il n’est pas simple de migrer un serveur de production aussi sensible que celui qui gère les mails en entreprise. L’utilisation d’un cluster qui regroupe plusieurs Exchange n’est pas plus facile à mettre à jour, c’est pour cette raison que de nombreuses organisations tournent encore avec Exchange 2010 voire 2007, bien que le support officiel Microsoft soit terminé sur cette version du système d’exploitation serveur. Et puisqu’il faut continuer de protéger les flux, l’installation d’un certificat SSL est toujours possible sur Internet Information Services (IIS) afin de sécuriser Exchange ou un site web.

Ce tutoriel décrit comment installer un (nouveau) certificat SSL pour Exchange 2007 sur un Windows Server avec IIS. Bien sûr, la procédure est quasiment équivalente avec les autres versions de Microsoft Exchange.

 

Microsoft Exchange 2007 : mettre en place un certificat SSL / TLS

1. Une fois le certificat téléchargé sur le compte Symantec, Digicert, GoDaddy ou autre, copier les fichiers (p7b, pxf…) sur le disque dur du serveur Microsoft Exchange.

2. Démarrer Exchange Management Shell (menu Démarrer, Programmes, Microsoft Exchange Server 2007).

3. Copier coller cette commande en adaptant le chemin et nom de fichier :

Import-ExchangeCertificate -Path C:\certificatssl.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS" 

Adapter également les services sur lesquels installer le nouveau certificat SSL, selon l’usage fait de ce serveur Exchange.

4. La commande exécutée, le certificat est en place. Vérifier sa prise en compte par une autre commande PowerShell :

Get-ExchangeCertificate -DomainName webmail.entreprise.com

En modifiant le nom de domaine (après DomainName).

5. La colonne Services indique ce qui a été configuré :

  • S : SMTP
  • I : IMAP
  • P : POP3
  • W : Web (IIS)

 

Thumbprint

Si le certificat n’est pas correctement installé, on peut relancer la commande Enable-ExchangeCertificate en indiquant le thumbprint du certificat, à retrouver dans les détails du fichier de certificat.

Enable-ExchangeCertificate -ThumbPrint [empreinte] -Services "SMTP, IMAP, POP, IIS"

Où [empreinte] est la longue série de chiffres et de lettres, sans les espaces.

 

Tester le certificat SSL / TLS

On peut utiliser un service comme Symantec CryptoReport pour valider le nouveau certificat SSL / TLS :

https://cryptoreport.websecurity.symantec.com/checker/

Catégories
Expert Sécurité

FileZilla Server : activer le FTPS (FTP over TLS)

Le protocole FTP est utilisé depuis de nombreuses années pour échanger des fichiers. Ce moyen de communication a peu évolué mais la réglementation européenne RGPD / GDPR peut changer les choses. En effet, les entreprises sont tenues d’assurer la protection et la confidentialité des informations personnelles sur leurs clients et fournisseurs, cela peut donc aussi concerner les échanges par FTP. Pour se conformer à la loi, il faut chiffrer les transferts FTP avec TLS ou SSL. Avec le FTPS, pour FTP over TLS ou over SSL, est sécurisé de manière explicite ou implicite. Le FTPS peut aussi s’écrire FTPES.

Ce tutoriel explique comment configurer le FTPS (FTP over TLS) sur un serveur FTP FileZilla Server. Ce logiciel open source et gratuit est très populaire comme serveur FTP sur système d’exploitation Microsoft Windows.

 

Activer le FTP over TLS (FTPS) sur FileZilla Server

1. Ouvrir la console d’administration de FileZilla Server.

2. Aller dans le menu Edit, Settings.

3. Cliquer sur le menu « FTP over TLS settings » .

4. Cocher la ligne « Enable FTP over TLS support (FTPS) » .

5. Définir un port de connexion, par défaut le 990.

6. Cliquer sur le bouton « Generate new certificate » et remplir les informations demandées :

  • Key size : 4096 bits
  • 2-Digit country code : FR pour France, CA pour Canada, BE pour Belgique, CH pour la Suisse, DZ pour Algérie…
  • Full State or Province : nom de l’Etat ou de la région
  • Locality (City) : ville
  • Organization : nom de l’entreprise
  • Organization unit : nom du service, par exemple
  • Contact E-mail : adresse mail de contact
  • Common name : adresse du serveur
  • Save key and certificate to this file : où enregistrer le fichier de certificat

Cliquer sur « Generate certificate » pour créer le certificat avec la clé privée RSA.

7. Par défaut, le simple FTP (port 21) sera encore activé : cocher la ligne « Disallow plain unencrypted FTP » pour refuser les futures connexions par ftp:// :

Les autres informations de configuration sur FTPS sur FileZilla Server se trouvent sur le wiki du logiciel open source.

8. Valider par OK. Le serveur FTP se relance et devient FTPS uniquement. Les prochaines connexions de clients FTP devront se faire par FTPS (ftps://) et non plus par FTP (ftp://). Le client FTP FileZilla gère ce protocole.

 

Connexion à un serveur FTPS

1. Ouvrir un client FTP et demander une connexion au serveur distant.

2. Accepter le certificat proposé.

3. La connexion et les transferts FTP sont sécurisés.

Techniquement, la session FTPS utilise le protocole TLS 1.2, l’échange de clé ECDHE-RSA, le chiffrement AES-256-GCM et le MAC : AEAD.

 

Connexion en FTP à un serveur uniquement FTPS

Si le serveur FileZilla est configuré pour n’accepter que les connexions sécurisées FTPS, une tentative de connexion par FTP sur port 21 sera soldée par un échec :