L'article explore l'utilisation de SPIFFE (Secure Production Identity Framework for Everyone) et du mTLS (mutual Transport Layer Security) avec cert-manager dans un environnement Kubernetes. SPIFFE est un standard open-source qui utilise des certificats X.509 pour sécuriser les échanges entre les workloads dans des architectures microservices, contrairement à Kerberos qui est plus adapté aux architectures monolithiques. L'article détaille l'installation et la configuration de cert-manager, un contrôleur Kubernetes pour la gestion des certificats, en désactivant l'approbation automatique des certificats pour une gestion plus sécurisée. Il explique également l'utilisation de trust-manager pour propager les certificats de confiance et du CSI Driver SPIFFE pour monter automatiquement les certificats SPIFFE dans les pods Kubernetes. Enfin, l'article présente une application simple utilisant SPIFFE pour communiquer en mTLS, soulignant l'importance de recharger régulièrement les certificats pour éviter les problèmes d'expiration.
Le guide explique comment créer un certificat TLS auto-signé et l'installer sur un serveur nginx ainsi que sur des systèmes clients. Il commence par discuter des objectifs de TLS, qui incluent l'authentification et le chiffrement pour assurer la confidentialité et l'intégrité des données. Le processus de création d'un certificat racine est détaillé, incluant la génération d'une clé privée et la création du certificat avec OpenSSL. Le certificat racine est ensuite ajouté à la liste des certificats de confiance sur les systèmes clients, ce qui permet de l'utiliser pour signer d'autres certificats. Enfin, le guide montre comment créer un certificat final pour un serveur web, le configurer dans nginx, et mettre en place une méthode automatique pour mettre à jour les certificats.
Dans cet article, on voit :
- Les formats de certificats
- Manipulation des certificats avec OpenSSL
- Visualiser le contenu d’un certificat
- Convertir entre différents formats
- Extraire des éléments d’un fichier PKCS#12
- Créer et gérer des clés privées
- Vérifier une clé privée et un certificat
- Vérifier la chaîne de certificats
- Générer une demande de signature de certificat (CSR)
- Créer un certificat auto-signé
- Examiner une demande de signature de certificat (CSR)
- Vérifier et tester un site web TLS
- Bonnes pratiques pour la gestion des certificats
Un article expliquant le fonctionnement des certificats TLS
Un journal qui explique bien à quoi servait / sert OCSP et pourquoi Let's Encrypt arrête ce service
Présentation d'un outil écrit par l'auteur
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Vous tentez de vous connecter à un serveur auquel vous vous connectez sans problème d'habitude... et vous tombez sur l'erreur
The authenticity of host 'mon_super_serveur' can't be established.
RSA key fingerprint is SHA256:le_fingerprint.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])?
Généralement, vous choisissez yes sans réfléchir. Il s'agit d'une pratique TOFU ("Trust On First Use") et ce n'est pas terrible d'un point de vue sécurité.
L'auteur montre comment utiliser plutôt des certificats SSH, qui permettent de n'avoir plus de TOFU.
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre (via https://hebdoo.fr/hebdoo-de-la-semaine )
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Les astuces en question :
- Liste d’arguments trop longue
- Filtrer la sortie d’un tail -f
- Vérifier tous les certificats de vos sites
- Purger le cache ARP
- Répertoire partagé VirtualBox
- Purger uniquement certains éléments de la file de mail en attente
- Ne pas vérifier la signature SSH d’un serveur
- Faire le ménage dans le fichier hosts d’Ansible