Inside my SSL I wait and heartbleed
By n on Sunday 13 April 2014, 12:41 - Permalink
Je suppose que comme moi vous n'avez pas pu échapper au vent de panique qui a soufflé sur l'ensemble du web à propos de la faille "heartbleed". Du coup j'ai fait quelques tests qui, si ils m'ont rassuré sur le fait que la Tourmentine n'était pas vulnérable, m'ont interpellé au niveau sécurité, encore aux normes de 2006: clé de 1024 bits, signature MD5 (!), SSLv2 (!!), TLS 1.0 Max... Bref, il était temps de rafraîchir tout ça, histoire de ne pas rendre la vie trop facile aux grandes oreilles de la NSA.
Les services sécurisés de la Tourmentine sont donc protégés depuis hier par un tout nouveau certificat; au lieu d'un truc auto-signé tout sale, le certificat en question est maintenant signé par ma propre autorité de certification, que vous pouvez télécharger ici si vous ne voulez pas avoir d'alerte de sécurité.
Cela ne concerne pour l'instant que les adresses en "https://", mais les services mail devraient suivre sous peu. En attendant, vous pouvez obtenir un minimum de confidentialité sur toutes les adresses gérées par ce serveur, en ajoutant le fameux "https://" au début de celles-ci.