LINUX:Problèmes-Cryptage
But
Le fait d'utiliser le cryptage en privé pose de plus en plus de problèmes dans les applications courantes. Nous allons passer quelques problèmes rencontrés avec les applications clientes classiques: AVAST, Firefox, Thunderbird Imaginez que vous avez un serveur Linux dans votre intranet (réseau privé), non accessible à partir d'internet. Par exemple, vous utilisez ce serveur comme partage et stockage de fichiers (SAMBA), serveur WEB (Apache,...), serveur de base de données (MySql,...)... Une fonctionnalité courante suit; tout processus envoie des rapports, des erreurs rencontrées, des avis de mises à jour,... via des messages électroniques (Postfix, Dovecot,...). Il est logique d'accéder à ces fonctionnalités. De plus en plus, des applications imposent le cryptage. Dans notre situation, nous rencontrons des situations de blocage.
AVAST
Suivant la situation décrite ci-dessus, les communications passent ou sont bloquées aléatoirement au cours du temps. La solution trouvée consiste à annuler l'analyse du trafic SSL. Mais ce paramétrage est maintenant caché.
La première étape passe par accéder au menu de paramétrage.
On lance l'interface d'Avast et la fenêtre suivante apparaît.
En haut à droite, on clique sur "Menu" et apparaît le menu.
En seconde position, cliquez sur "Paramètres". L'écran de paramétrage s'affiche.
En haut à droite, on clique sue "Rechercher". On introduit dans la zone de recherche, le mot magique "geek:area" et on valide.
Une Longue liste d'options vous est présentée. Il faut descendre très bas jusqu'à l'option "Mail shield: Scan SSL connections". Décochez cette option et fermez les écrans.
Firefox et Thunderbird
On veut accéder au site WEB installé en site propre de notre serveur Linux, par exemple, une application regroupant les photos de famille. Pour cela, j'utilise Firefox comme client.
De même, comme évoqué ci-dessus, on désire gérer les messages électroniques émis par notre serveur Linux privé. J'utilise alors Thunderbird comme client. Notons que j'ai rencontré le même problème avec MS Outlook.
Nous avons configuré notre serveur en mode sécurisé (HTTPS, IMAPS, POPS, Submission, SMTPS) via des certificats.
Auparavant j'utilisais des certificats auto-signés. Sous Firefox, il faut accepter une exception, de même sous Thunderbird. Mais avec l'arrivée de la version 78 de Thunderbrd, ce n'est plus possible.
Nous avons donc créé notre propre Autorité de Certification (CA) sur notre serveur Linux et paramétré nos applications serveur (Apache, Postfix et Dovecot) en conséquence. Par la même occasion, nous avons créé un certificat de cette CA (fichier ca.xrt). Dans notre exemple, le nom de domaine privé est "home.dom" et à notre certificat CA, nous avons donné le nom CA.home.dom. Notre site WEB est accessible sous le nom www.home.dom et notre messagerie sous mail.home.dom.
Maintenant se pose le problème d'élever notre nom de domaine en tant qu'entité reconnue par nos applications Mozilla. Ces applications possèdent chacune leur propre infrastructure de clés publiques par utilisateur. Notons que Microsoft fait de même de son côté. La solution est d'y intégré notre certificat CA (ca.crt). Cette opération est à effectuer sur les deux applications Firefox et Thunderbird. Les étapes sont similaires, à gauche Firefox, à droite Thunderbird.
Dans le menu, sous l'entrée "Outils", nous allons dans les "Options".
Dans l'onglet qui s'ouvre, nous choisissons à gauche "Vie privée et sécurité". Ensuite nous allons jusqu'en bas à la rubrique "Certificats".
En cliquant sur le bouton "Afficher les certificats", nous accédons à l'écran des certificats. Il faut choisir l'onglet "Autorités".
En bas, on clique sur le boutons "Importer"; dans fenêtre qui s'ouvre, nous choisissons notre fichier contenant le certificat CA (ca.crt) créé sous Linux et nous validons. Une fenêtre s'ouvre où nous cochons les fonctionnalités désirées; par facilité pour notre exposé, les deux sont cochées. Nous validons.
Une nouvelle autorité est apparue. Il nous reste à fermer les différentes fenêtres ouvertes.
