PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Yunohost, Let's Encrypt, A+ in SSLLabs - English version

jeudi 1 janvier 1970 à 01:00

French version / Version française : https://blog.genma.fr/?Yunohost-Let-s-Encrypt-A-au-SSLLabs

Prerequisites : You need to have some knowledge about Let's Encrypt, How SSL/TLS configuration works (basics).

I've followed How to : Install Let's Encrypt certificates and it works. Nothing to say, it helps to have a secured connexion. But in order to have the best TLS configuration, I've test my domain domain and subdomains on the https://www.ssllabs.com/ website. The Default Let's Encrypt configuration gives a B level as results. It's confirmed with the Calomel SSL addons on Firefox. So the Default TLS & Let's Encrypt configuration is not optmised.

Attention : more the grade is high, more the access to the website is restricted. Old browsers (on old computer O.S. or old Smartphone O.S. like Android 2.2, 4.0...) won't be able to connect to your websites.

Only using Firefox in it's latest version on each off my devices (PC or smartphone), it's not a problem for me to have the best grade.

So I've read many how to secure nginx. I've compared the nginx configuration files theses how-o preconize with the one Yunohost has by default. The default nginx file in Yunohost is secured (obsolete algorithm are disabled). But I've gone deeper with some modification.

Nginx Configuration file of my subdomain : /etc/nginx/conf.d/blog.mydomain.org.conf :

ssl_protocols TLSv1.1 TLSv1.2;
#ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

To compare to he one Aeris (the hacktivist) recommands, for an extrem configuration :

TLSv1.2 + EECDH + AESGCM + SHA-2 only :P

What is missing in order to have a better level grade in SSLLabs test, it's Diffie Hellman. We need to generate a file for Diffie Hellman, it's done with :

sudo mkdir -p /etc/nginx/ssl &&
sudo openssl rand 48 -out /etc/nginx/ssl/ticket.key &&
sudo openssl dhparam -out /etc/nginx/ssl/dhparam4.pem 4096

It takes times, depending on processor performance and the capacity to generate random numbers.

After the file generation, in each nginx configuration file of each domain and subdomains, you have to to this :

nano /etc/nginx/conf.d/blog.mydomain.org.conf
# Uncomment the following directive after DH generation
openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
# ssl_dhparam /etc/ssl/private/dh2048.pem;
ssl_dhparam /etc/nginx/ssl/dhparam4.pem;

After, you verify ngix configuration files are ok with the command :
nginx -t

You restart nginx with :
service nginx restart

You can now restest your domain on SSLLabs and your grade will be an A+ normally.

Aeris says to me on Twitter

Remove EDH completely. Avoid the (very long) (and weak) DH generation. No compatibility trouble AFAIK.

Du pseudonymat au pseudonyme

jeudi 1 janvier 1970 à 01:00

Depuis que je tiens ce blog, 12 ans maintenant, je fais une gestion de mon identité numérique et régulièrement, je fais des billets de réflexions sur la séparation de cette identité publique, Genma, de mon identité civile. Je me pose des questions, je remets en doute ma pratique de vouloir séparer cette identité (Outer mon hacktivisme ?), le faire qu'on en puisse pas Faire le lien entre mon pseudo et ma véritable identité.

Dans ce billet, je voudrais vous faire part d'une décision que j'ai prise, mûrement réfléchi. Je vais passer du pseudonymat au pseudonyme. Explications.

Anonymat, pseudonymat, pseudonyme

L'anonymat, c'est être anonyme. C'est ne pas avoir de pseudonyme régulier, ne pas avoir une identité numérique cohérente autour d'un même pseudonyme. C'est ne pas pouvoir rattacher un pseudo à une personne physique.

Le pseudonymat, c'est avoir un pseudonyme, une présence cohérente en ligne sous ce pseudonyme (un blog, des comptes sur les réseaux sociaux) et éventuellement une vie associative et publique sous ce pseudonyme. Les personnes vous connaissent ou reconnaissent et vous appellent sous ce pseudonyme. Mais ne peuvent pas ou ne font pas le lien avec vos autres identités, civile ou autre pseudonyme. On est un cran de dessous de l'anonymat.

Le pseudonyme, c'est une sorte de surnom, de nom de plume ou d'artiste. Le nom civil de la personne est connue. Mais le nom civil sert pour la vie personnelle et privée, administrative. Le pseudonyme sert pour la vie et la personne publique. Le lien se fait aisément, tout le monde connait le pseudonyme, moins l'identité civile.

Du pseudonymat au pseudonyme

Jusqu'à récemment, Genma était un pseudonymat pour moi. Très peu de personnes connaissaient mon identité civile si elles connaissaient mon identité publique, pseudonymale. Et inversement. Mais avec une activité personnelle publique qui est sortie d'Internet ces dernières années, en m'impliquant dans des associations (et non plus seulement sur les forums et projets en ligne), en donnant des conférences, je suis amené, pour des raisons administratives (remboursement de frais de transports, salaires...) à donner mon identité civile, qui se voit alors associer à mon identité publique. De plus en plus de personne me connaissant sous mon identité publique me connaissent alors sous mon identité civile. Celles et ceux que je rencontre le savent : je donne mon prénom facilement. Mais si je n'y répondrais probablement pas si on m'interpelle avec quand je suis dans le cadre du personnage public.

Le lien Genma, mon identité civile se fait donc de plus en plus facilement (même si en ligne cela reste encore bien séparé). Dans l'autres sens, mon identité civile vers mon identité publique Genma, c'est quasiment impossible. Les nouvelles rencontres que je fais, les nouvelles personnes que je côtoie, c'est via ma vie et mes activités publiques.

Genma devient donc peu à un peu un pseudonyme et non plus un pseudonymat. On peut savoir et connaitre mon identité civile. Et là où pendant très longtemps cela m'aurait gêné, je me fais une raison. Je dois vieillir. Le fait de connaître mon nom, ça n'apporte rien. Aucune information qu'on ne pourrait savoir de plus via mon identité publique, si ce n'est toute la partie vie personnelle et intime qui n'est de toute façon pas mise en ligne (même sous pseudonymat).

Faire reconnaître mes vraies compétences

Le billet Outer mon hacktivisme ? avait initié une réflexion sur le fait de comment faire reconnaitre mes vraies compétences. Sur mon CV, désormais, je mets une partie Résumé de carrière avec ce que je fais depuis que je travaille, mon parcours professionnel. Et je mets une seconde partie tout aussi riche si ce n'est plus, que j'appelle Résumé du parcours personnel, qui correspond à tout ce que je fais depuis plus de 12 ans sous le pseudonyme de Genma. Il y a eu le blog, mon autodidaxie en informatique, puis récemment mon implication dans différents projets et association du monde du logiciel libre.

Ce parcours personnel, je souhaite le valoriser, l'utiliser professionnellement pour trouver un emploi au sein duquel je serai épanoui car j'utiliserai mes vraies compétences, la maturité acquise via toutes ces expériences personnelles. J'ai vieilli, mûri, grandi en étant Genma. Ce pseudonymat m'a permis d'apprendre plein de choses (le blog en est un bon résumé / un beau témoignage de cette évolution personnelle).

Le pseudonyme, le fait de mettre Jérôme "Genma" MonNomDeFamille dans l'entête du CV, de clairement citer le blog avec son adresse, c'est mettre fin à mon pseudonymat. En donnant explicitement mon pseudonyme à mon futur employeur, je lui dis clairement qui je suis, ce que je sais faire et ce que je vaux. J'attends de L'Entreprise qu'elle fasse la distinction et respecte le fait que j'ai une identité publique (de même qu'elle doit respecter ma vie privée en dehors de mes heures d'employabilité). Il y a une forme de contrat implicite : il y a le personnage publique avec sa liberté de paroles, de ton, etc. Et la personne privée (liée à mon identité civile) qui est sous contrat avec une entreprise, qui lui doit des comptes etc. Donner mon pseudonyme permet de vérifier mes dires : ma présence en ligne, mon implication dans des projets, de voir les conférences que j'ai donné, mes écrits. Tout ce qui me permet de montrer mes capacités, mes connaissances, le fait que les technologies que je mentionne sur le CV sont maitrisées (par exemple).

Quelles conséquences ?

Si je veux à nouveau avoir un pseudonymat, il faudra que je recommence de zéro, que je récréé une identité de toute pièce (avec les outils adéquat pour ne pas relier cette identité numérique à qui je suis) et donc ne pas l'utiliser en dehors du monde numérique...

Mon identité civile finira par être liée à mon pseudonyme et celles et ceux qui me connaissent prendront un malin plaisir à en rire, à me taquiner avec ça. Il y aura sûrement d'autres conséquences que je n'ai pas encore envisagées à l'heure actuelle, on verra bien et ce sera toujours l'occasion de faire des nouveaux billets pour ce blog :) Comme d'habitude, à suivre donc...

Wallabag comme outil de contournement de proxy

jeudi 1 janvier 1970 à 01:00

Parfois les proxy d'entreprises sont mal configurés et un peu trop restrictif, bloquant certains sites sur des bases de mots clefs trop génériques, et de ce fait, des sites que l'on devrait pouvoir consulter de manière légitime se retrouvent bloqués par ce proxy nazi. Il est parfois possible de demander à l'équipe informatique de débloquer spécifiquement ce site, via une demande en trois exemplaires avec une lettre argumentée d'au moins 500 signes et un délai d'attente de trois semaines (j'exagère à peine). Parfois non.

Dans cet article, je voudrais donc évoquer un usage détourné de Wallabag, le logiciel (pour un usage classique, je vous renvoie vers mon billet Le combo gagnant pour optimiser sa veille)

Wallabag est un logiciel que l'on peut héberger soi-même sur son propre serveur à la maison, un serveur que l'on loue ou on peut utiliser une instance de confiance gérée par un tiers comme Framabag par exemple. Avec cette application, vous ne perdrez plus les contenus du Web qui vous intéressent mais que vous n'avez pas le temps de parcourir. D'un clic, vous enregistrez votre sélection et vous la lirez quand vous voudrez. L'application sauvegarde votre sélection pour vous permettre d'en profiter quand vous en aurez le temps.

C'est donc Wallabag et la connexion du serveur qui héberge cette application qui se connectent au site web pour récupérer la page web dont on donne le lien, en purge le contenu inutile et met à disposition la page épurée....

Et là vous me voyez venir vu le titre du billet.

Eh oui. Si l'adresse de votre instance Wallabag n'est pas bloqué par le proxy, il suffit de vous connecter et de demander à Wallabag de sauvegarder le lien de la page inaccessible. Il y a de fortes chances que ça marche. Si ça ne marche pas, ça ne sera pas lié à un problème d'accès à la page, mais plus à un problème de structure de la page en elle-même, pour laquelle Wallabag n'arrive pas à déterminer la partie corps de texte permettant d'en faire une page épurée, lisible au sein de Wallabag ou exportable sous la forme d'epub ou de pdf.

Cette méthode est peut-être capillotractée mais elle a le mérite d'être simple et marrante (je trouve). On pourrait conseiller l'usage d'un tunnel SSH, de Tor, d'un VPN ou autre solution... (qui seront plus efficaces, ici la méthode ne permet que la consultation de contenu textuel) Mais il sera plus dur de prouver l'évidence que l'on contourne volontairement le proxy et en connaissance de cause (et par conséquence le fait qu'on ne respecte pas la charte informatique, ce qui peut amener à des problèmes). Dans le cas de Wallabag, l'instance n'étant pas bloqué, on peut être considéré comme de bonne foi, non ? :)

Je lance ma page Tipeee

jeudi 1 janvier 1970 à 01:00

Je lance ma page Tipeee et elle est accessible ici https://www.tipeee.com/genma/. Je vais remettre ici le contenu de cette page qui explique le pourquoi etc.

Pourquoi ce Tipee ?

Si c'est gratuit c'est vous le produit. Adage bien connu. Comme la rédaction des billets de blog est une passion mais me prend du temps, votre participation sera une forme de reconnaissance au partage de savoir et de connaissances que je fais ;) Le but n'est pas de faire une version premium du blog, avec un accès à un contenu limité. Juste de faire une nouvelle expérimentation qui donnera lieu à la rédaction de nouveaux billets thématiques.

Un des buts de ce Tipee est également de donner un peu plus de visibilité au blog et par effet de rebond à mes autres projets comme les conférences que je donne par exemple.
Objectifs

Le but n'est pas de m'enrichir, mais de faire une expérimentation, de voir ce que pourrait donner le financement participatif. D'où des paliers et des contreparties qui évolueront.

Les objectifs actuels sont provisoires, j'ai essayé de trouver des objectifs réalisables et sympathiques. A noter que parmi les objectifs, il y a la location d'un serveur pour faire de l'hébergement, apprendre des nouvelles choses, en rédiger des articles pour partager ces nouvelles connaissances acquises.

Contreparties

Etant donné les objectifs, il n'y a actuellement pas de contrepartie en dehors d'un Merci. En fonction des retours, de la réussite relative de ce Tipee, les contreparties évoluerons. Je pourrais envisager des goodies (stickers ou autre) par exemple.

Conclusion

Je n'ai pas d'attente ou d'espoir particulier. Je me doute que des personnes soient prêtes à donner un peu d'argent pour un blog qui est gratuit. Mais sait-on jamais, dans ce cas c'est par ici : https://www.tipeee.com/genma

Mes projets de contribution à Yunohost

jeudi 1 janvier 1970 à 01:00

J'ai différents projets quand à des contributions pour Yunohost.

Des applications packagées à jour

Tout d'abord vérifier que chaque application que j'utilise et d'autres, comme FreshRSS, SPIP, Shaarli, Wallabag sont packagées pour utiliser les dernières versions correctives fournies par ces projets respectifs. Ce afin que dans Yunohost, on a bien les dernières mises à jour.

Une application de Sauvegarde

Yunohost intègre une fonctionnalité de sauvegarde via la Moulinette. Je ferai un billet complet et complèterai la documentation officielle à ce sujet. Cela crée une sauvegarde sous forme d'archive zippée dans le /home/yunohost.backup.
Soucis que je vois :
- la sauvegarde est sur le même disque
- il faut la lancer manuellement, via une ligne de commande

Ce que j'aimerai faire, c'est une application qui soit une surcouche graphique à cette sauvegarde.
Une application permettra d'avoir rapidement la fonctionnalité. Puis je verrai avec ma montée en expérience pour faire intégrer ça dans le coeur de Yunohost (dans une version future).

Ce que ferai cette application ? Mon cahier des charges

Les fonctionnalités que je prévois et que j'aimerai implémenter au fur et à mesure. Ce sera version après version, je verrai pour définir une roadmap.
- Avoir une application qui a un bouton graphique, qui lorsque l'on clique dessus, appel le processus de sauvegarde de la moulinette de Yunohost
- Détection de la présence ou non d'un support externe (Clef USB ou disque réseau) avec possibilité à l'utilisateur de choisir où créer la sauvegarde (pour qu'elle ne soit pas sur le même disque)
- Test de l'espace disque disponible avant de copier l'archive de sauvegarde
- Conservation de la date et heure de sauvegarde
- Ajout d'un message régulier et d'un code couleur dans l'application pour indiquer le délai depuis la première sauvegarde avec sensibilisation à la nécessité de faire des sauvegardes. Vert : moins d'une semaine. Orange : entre une semaine et un mois. Rouge : plus d'un mois depuis la dernière sauvegarde.
- Ajout de la fonctionnalité de restauration de la sauvegarde

A terme on aurait donc un moyen simple pour l'utilisateur de faire des sauvegardes, de les restaurer sans être un geek. Et comme Yunohost est utilisée par la Brique Internet, cela améliorait aussi la Brique Internet et son accessibilité au plus grand nombre.

Je vais voir pour commencer à état des lieux de ce qui existe, faire un POC et un dépôt Github et dès que j'aurai un peu avancé, je communiquerai sur le blog et sur le forum de Yunohost. A suivre donc.