Conversation
Avis
-
Statut de ·Gor moved to https://pouet.it/@im (igor@herds.eu) sur Monday, 24-Jul-2017 20:56:56 CEST
·Gor moved to https://pouet.it/@im
Tiens, mastodon.zaclys.com a son https cassé, on dirait. Ou plutôt, mon profil firefox crie, alors qu'u profil vierge est satisfait. https://herds.eu/attachment/1041708 - Matthieu Herrb a repris ceci.
-
Statut de Matthieu Herrb (mherrb@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:07:28 CEST
Matthieu Herrb
@igor lesjoies de HPKP (public key pinning) avec Let's encrypt :(
-
Statut de Matthieu Herrb (mherrb@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:09:15 CEST
Matthieu Herrb
@igor https://mike-bland.com/2017/02/07/switching-to-lets-encrypt-with-hpkp-part-0.html
-
Statut de ·Gor moved to https://pouet.it/@im (igor@herds.eu) sur Monday, 24-Jul-2017 21:11:08 CEST
·Gor moved to https://pouet.it/@im
@mherrb Wé, mais ça doit plutôt venir de ma configuration firefox, non ? Parce qu'avec un profil vide, je peux charger la page sans problème. -
Statut de Matthieu Herrb (mherrb@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:13:22 CEST
Matthieu Herrb
@igor Non. HPKP ca marche à la première connexion qui enregistre le certificat vu pour la page. Donc dans ton profil tu as mémorisé un certificat qui été remplacé, alors qu'avec un profil vierge firefox accepte le certificat courant (mais ce profil fera aussi une erreur dès que certbot aura remplacé le certificat)
-
Statut de Aymeric / APLUFR (aplufr@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:14:07 CEST
Aymeric / APLUFR
@igor @mherrb C’est pas ta configuration, le HPKP est sauvegardé par Firefox dans un fichier (plain text), repartir avec un profile vierge il n’y a plus l’ancienne valeur de HPKP donc plus d’alerte.
La le soucis c’est que mastodon.zaclys.com a changeé de certificat, donc de hash mais sans roue de secours au niveau de HPKP… donc erreur :-|Matthieu Herrb a repris ceci. -
Statut de ·Gor moved to https://pouet.it/@im (igor@herds.eu) sur Monday, 24-Jul-2017 21:16:42 CEST
·Gor moved to https://pouet.it/@im
@aplufr @mherrb Merci pour vos explications. C'est pas gagné. Mais y a que firefox qui crie ? L'instance qui m'héberge ne devrait pas aussi se plaindre ? -
Statut de Aymeric / APLUFR (aplufr@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:16:45 CEST
Aymeric / APLUFR
@mherrb @igor c’est pour ça qu’il faut toujours avec au moins 2 clefs dans HPKP, la primaire « in use » et la backup… au chaud dans un coffre pour le jour où tu perds la primaire tu puisse revenir et publier avec backup (et indique que la primaire n’est plus)… bref. HPKP c’est bien mais à manipuler avec attention, précaution et connaissance de cause sinon ça peut bloquer très longtemps le ndd (surtout si le pinning est inclu dans les navigateurs)
Matthieu Herrb a repris ceci. -
Statut de Aymeric / APLUFR (aplufr@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:18:50 CEST
Aymeric / APLUFR
@igor @mherrb le HPKP c’est un header en plus… suffit de l’ignorer (ce que doit faire ton instance mais pas firefox/chrome/ium/Edge)
-
Statut de Matthieu Herrb (mherrb@mastodon.tetaneutral.net) sur Monday, 24-Jul-2017 21:19:32 CEST
Matthieu Herrb
@igor @aplufr le truc dans mastodon qui gère l'API (je n'ai toujours pas saisi si c'est en ruby/rails ou en nodejs) ne vérifie pas HPKP (heureusement ?)
-
Statut de ·Gor moved to https://pouet.it/@im (igor@herds.eu) sur Monday, 24-Jul-2017 21:22:13 CEST
·Gor moved to https://pouet.it/@im
@mherrb @aplufr En plus je suis sur une instance !gnusocial, le !troupeau.