Alsacreations.com - Actualités - Archives (juin 2018)
Les dernières actualités d'Alsacreations.com
L'initiative toute fraîche de l'Electronic Frontier Foundation baptisée STARTTLS EveryWhere est dans la lignée du mouvement lancé avec Let's Encrypt, permettant à tout un chacun de disposer de certificats SSL/TLS gratuits, et donc d'activer le fameux protocole HTTPS sur un site web. Le web n'est pas le seul concerné. L'e-mail aussi.
Si vous utilisez des services tiers tels que Yahoo, Gmail, tout est déjà pris en charge. Si vous disposez de votre propre serveur mail dédié pour tout ce qui est envoi (SMTP) ou boîte de réception (POP3, IMAP) ce n'est peut être pas encore le cas. C'est l'occasion de s'y intéresser. Pour sécuriser, fiabiliser vos échanges, vérifier l'identité du serveur et ne plus avoir à accepter de certificat auto-signé.
STARTTLS est le protocole permettant d'améliorer une connexion classique vers une sécurisée en utilisant TLS (Transport Layer Security). Vous connaissez déjà certainement le terme SSL (Secure Sockets Layer) qui a été développé par Netscape. C'est une longue histoire, mais l'IETF (Internet Engineering Task Force) a pris SSL 3 en main et l'a "renommé" TLS. Actuellement nous en sommes à la version 1.3 approuvée en mars 2018. Elle abandonne de vieux protocoles de chiffrement trop faibles tels que MD5, RC4, etc.
Vous pouvez utiliser l'outil de test de STARTTLS EveryWhere pour savoir si
- votre serveur supporte STARTTLS
- utilise une version sécurisée
- utilise un certificat valide
C'est le dernier point qui nous intéresse ici, avec comme exemple les serveurs Postfix pour SMTP et Dovecot pour POP3/IMAP. En ce qui concerne l'activation pure de STARTTLS dans la configuration et l'obtention d'un certificat, vous trouverez de la documentation à foison sur le web.
Ceci suppose bien entendu d'avoir un accès super-admin (root) sur la machine. Avant toute chose, sauvegardez votre configuration avant d'y toucher. Au besoin, commentez les lignes de configuration pour pouvoir immédiatement y revenir ensuite.
Obtenir un certificat
L'idéal est de se servir de certbot pour gérer l'acquisition automatique du certificat à partir du serveur, sa validation et surtout son renouvellement. Les fichiers délivrés par Let's Encrypt ne sont valables que 3 mois contrairement à un certificat payant qui peut durer une à plusieurs années.
Vous pouvez parfaitement utiliser un certificat déjà délivré et renouvelé pour votre site web en HTTPS (serveur Apache, etc). Jetez un oeil dans les répertoires mentionnés ci-dessous pour savoir si vous disposez déjà du nécessaire en fichiers pem à jour.
Le nom utilisé pour communiquer avec votre serveur est très important (FQDN : Fully Qualified Domain Name). Si vous utilisez un alias ou un nom erroné, le certificat pourra être considéré comme invalide car le nom du serveur ne correspondra pas à la connexion réelle.
Sur certaines distributions Linux on peut installer certbot avec un paquet, par exemple sous Ubuntu en passant par un repository PPA (Personal Package Archive).
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot
Certbot doit pouvoir communiquer avec l'extérieur pour l'obtention du certificat, vous devez laisser passer les ports 80 et 443 si vous avez un firewall.
Une ligne de commande permettant d'obtenir un nouveau certificat ressemble à ceci, en présumant que le nom de domaine du serveur est mail.example.org :
sudo certbot certonly --standalone -d mail.example.org
Une ligne de commande permettant le renouvellement ressemble à ceci :
sudo certbot renew
Des fichiers sont alors générés dans le répertoire /etc/letsencrypt/live suivi du nom du domaine. Vous pouvez y jeter un coup d'oeil avec sudo ls /etc/letsencrypt/live/mail.example.org. Plusieurs fichiers de clés devraient s'y trouver (cert.pem, chain.pem, fullchain.pem, privkey.pem)... ou comme disait Beethoven : pem pem pem pem.
- Le fichier
privkey.pemsera utile, c'est la clé privée. - Le fichier
fullchain.pemsera également utile, contenant le certificat associé à d'autres certificats intermédiaires.
Si certbot est bien installé, il devrait avoir ajouté un fichier dans /etc/cron.d pour le renouvellement périodique et automatique de ces fichiers (au moins tous les 3 mois) avec crontab, et une configuration pour chaque domaine dans /etc/letsencrypt/renewal/. La documentation de certbot sur le renouvellement automatique vous donnera tous les détails.
Configurer Postfix
Le serveur SMTP le plus courant est Postfix. Si votre serveur l'utilise, sa configuration est stockée dans /etc/postfix/main.cf. Editez ce fichier avec votre éditeur de code favori, par exemple vi ou nano.
Il faudra indiquer aux clés correspondantes les chemins complets vers les fichiers pem. Pensez à conserver les informations en commentaire pour les rétablir plus tard en cas de nécessité.
# smtpd_tls_cert_file = /etc/postfix/smtpd.cert
# smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.org/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.org/privkey.pem
smtpd_use_tls = yes
Il faudra redémarrer le service pour prendre en compte les changements. Par exemple sous Ubuntu/Debian :
service postfix restart
Configurer Dovecot
De la même façon, le serveur Dovecot est l'un des plus courants pour tout ce qui touche à POP3 et IMAP. Sa configuration se trouve dans /etc/dovecot/conf.d/ et plus précisément le fichier /etc/dovecot/conf.d/10-ssl.conf pour tout ce qui touche à SSL/TLS.
Là aussi on indique les bons chemins.
ssl_cert = /etc/letsencrypt/live/mail.example.org/fullchain.pem
ssl_key = /etc/letsencrypt/live/mail.example.org/privkey.pem
N'oubliez pas de redémarrer le service :
service dovecot restart
Testez !
Testez avec votre client mail (pourquoi pas Thunderbird) la réception et l'envoi. Si cela ne fonctionne pas immédiatement, vous pouvez revenir à l'état précédent avec la configuration que vous aurez sauvegardée.
Un autre outil pratique est MXToolbox Supertool pour vérifier la bonne configuration externe de votre SMTP.
Retrouvez l'intégralité de ce tutoriel en ligne sur Alsacreations.com
L'initiative toute fraîche de l'Electronic Frontier Foundation baptisée STARTTLS EveryWhere est dans la lignée du mouvement lancé avec Let's Encrypt, permettant à tout un chacun de disposer de certificats SSL/TLS gratuits, et donc d'activer le fameux protocole HTTPS sur un site web. Le web n'est pas le seul concerné. L'e-mail aussi.
Si vous utilisez des services tiers tels que Yahoo, Gmail, tout est déjà pris en charge. Si vous disposez de votre propre serveur mail dédié pour tout ce qui est envoi (SMTP) ou boîte de réception (POP3, IMAP) ce n'est peut être pas encore le cas. C'est l'occasion de s'y intéresser. Pour sécuriser, fiabiliser vos échanges, vérifier l'identité du serveur et ne plus avoir à accepter de certificat auto-signé.
STARTTLS est le protocole permettant d'améliorer une connexion classique vers une sécurisée en utilisant TLS (Transport Layer Security). Vous connaissez déjà certainement le terme SSL (Secure Sockets Layer) qui a été développé par Netscape. C'est une longue histoire, mais l'IETF (Internet Engineering Task Force) a pris SSL 3 en main et l'a "renommé" TLS. Actuellement nous en sommes à la version 1.3 approuvée en mars 2018. Elle abandonne de vieux protocoles de chiffrement trop faibles tels que MD5, RC4, etc.
Vous pouvez utiliser l'outil de test de STARTTLS EveryWhere pour savoir si
- votre serveur supporte STARTTLS
- utilise une version sécurisée
- utilise un certificat valide
C'est le dernier point qui nous intéresse ici, avec comme exemple les serveurs Postfix pour SMTP et Dovecot pour POP3/IMAP. En ce qui concerne l'activation pure de STARTTLS dans la configuration et l'obtention d'un certificat, vous trouverez de la documentation à foison sur le web.
Ceci suppose bien entendu d'avoir un accès super-admin (root) sur la machine. Avant toute chose, sauvegardez votre configuration avant d'y toucher. Au besoin, commentez les lignes de configuration pour pouvoir immédiatement y revenir ensuite.
Obtenir un certificat
L'idéal est de se servir de certbot pour gérer l'acquisition automatique du certificat à partir du serveur, sa validation et surtout son renouvellement. Les fichiers délivrés par Let's Encrypt ne sont valables que 3 mois contrairement à un certificat payant qui peut durer une à plusieurs années.
Vous pouvez parfaitement utiliser un certificat déjà délivré et renouvelé pour votre site web en HTTPS (serveur Apache, etc). Jetez un oeil dans les répertoires mentionnés ci-dessous pour savoir si vous disposez déjà du nécessaire en fichiers pem à jour.
Le nom utilisé pour communiquer avec votre serveur est très important (FQDN : Fully Qualified Domain Name). Si vous utilisez un alias ou un nom erroné, le certificat pourra être considéré comme invalide car le nom du serveur ne correspondra pas à la connexion réelle.
Sur certaines distributions Linux on peut installer certbot avec un paquet, par exemple sous Ubuntu en passant par un repository PPA (Personal Package Archive).
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot
Certbot doit pouvoir communiquer avec l'extérieur pour l'obtention du certificat, vous devez laisser passer les ports 80 et 443 si vous avez un firewall.
Une ligne de commande permettant d'obtenir un nouveau certificat ressemble à ceci, en présumant que le nom de domaine du serveur est mail.example.org :
sudo certbot certonly --standalone -d mail.example.org
Une ligne de commande permettant le renouvellement ressemble à ceci :
sudo certbot renew
Des fichiers sont alors générés dans le répertoire /etc/letsencrypt/live suivi du nom du domaine. Vous pouvez y jeter un coup d'oeil avec sudo ls /etc/letsencrypt/live/mail.example.org. Plusieurs fichiers de clés devraient s'y trouver (cert.pem, chain.pem, fullchain.pem, privkey.pem)... ou comme disait Beethoven : pem pem pem pem.
- Le fichier
privkey.pemsera utile, c'est la clé privée. - Le fichier
fullchain.pemsera également utile, contenant le certificat associé à d'autres certificats intermédiaires.
Si certbot est bien installé, il devrait avoir ajouté un fichier dans /etc/cron.d pour le renouvellement périodique et automatique de ces fichiers (au moins tous les 3 mois) avec crontab, et une configuration pour chaque domaine dans /etc/letsencrypt/renewal/. La documentation de certbot sur le renouvellement automatique vous donnera tous les détails.
Configurer Postfix
Le serveur SMTP le plus courant est Postfix. Si votre serveur l'utilise, sa configuration est stockée dans /etc/postfix/main.cf. Editez ce fichier avec votre éditeur de code favori, par exemple vi ou nano.
Il faudra indiquer aux clés correspondantes les chemins complets vers les fichiers pem. Pensez à conserver les informations en commentaire pour les rétablir plus tard en cas de nécessité.
# smtpd_tls_cert_file = /etc/postfix/smtpd.cert
# smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.org/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.org/privkey.pem
smtpd_use_tls = yes
Il faudra redémarrer le service pour prendre en compte les changements. Par exemple sous Ubuntu/Debian :
service postfix restart
Configurer Dovecot
De la même façon, le serveur Dovecot est l'un des plus courants pour tout ce qui touche à POP3 et IMAP. Sa configuration se trouve dans /etc/dovecot/conf.d/ et plus précisément le fichier /etc/dovecot/conf.d/10-ssl.conf pour tout ce qui touche à SSL/TLS.
Là aussi on indique les bons chemins.
ssl_cert = /etc/letsencrypt/live/mail.example.org/fullchain.pem
ssl_key = /etc/letsencrypt/live/mail.example.org/privkey.pem
N'oubliez pas de redémarrer le service :
service dovecot restart
Testez !
Testez avec votre client mail (pourquoi pas Thunderbird) la réception et l'envoi. Si cela ne fonctionne pas immédiatement, vous pouvez revenir à l'état précédent avec la configuration que vous aurez sauvegardée.
Un autre outil pratique est MXToolbox Supertool pour vérifier la bonne configuration externe de votre SMTP.
Retrouvez l'intégralité de ce tutoriel en ligne sur Alsacreations.com
Liens rapides :
Slides des conférences
Streaming
#KiwiParty (tweets et photos)
Sponsors
Chiffres clés
La KiwiParty, la conférence web strasbourgeoise de 2018
À 18h30, peu après la fin du quïz sur le thème des nouvelles technologies et des références un peu geek, la KiwiParty 2018 ferme ses portes. La foule quitte les lieux, portée par la fatigue et la bonne humeur, tandis que les kiwis du staff préparent l'arrivée d'une centaine d'entre eux pour l'::after, au bar du Grognon.Retour sur une journée de conférences web ponctuée de petites surprises et d'une grosse dose de passion !
Des conférences portant sur le web et ses nouvelles technologies
Comme toujours depuis ces neuf dernières éditions, la KiwiParty est un événement se déroulant à Strasbourg et offrant au public une dizaine de conférences sur le thème du web. Elle était cette année co-organisée par l'agence Alsacréations ainsi que le collectif WdStr.UX, référencement, développement, emailing, web éthique ou encore culture agile, de nombreuses tendances web ont été explorées par nos conférenciers. Parfois plus techniques, parfois plus théoriques, la complémentarité de ces interventions a permis de regrouper les passionnés du web et de s'enrichir chacun de l'autre.
Puisque rien n'aurait été possible sans nos orateurs, voici la liste des intervenants et leurs conférences, dont les slides sont (re)visionnables aux liens sous-cités (merci à Baptiste de Weblife pour les avoir toutes regroupées sur son blog ;) ) :
- Manifeste pour un Web éthique - Arnaud Malon
- Embarquement Agile : Comment transmettre sa culture à une nouvelle personne en 5 semaines ? - Florian Ferbach
- MJML, le nouveau standard pour écrire nos emails ? - Thomas Deneulin
- CSS3+, une plongée dans le futur – Jonathan Giamporcaro
- Slow UX, De l'art de la lenteur dans les processus de conception centrés sur l'usage – Raphaël Yharrassarry
- Gérer le mode hors-ligne grâce aux services workers – Corinne Schillinger
- Arrêtez de nous demander combien coûte une ligne de code ! - Aurélie Guillaume
- Préprocesseurs vs CSS natif : Le match ! - Jonathan Levaillant
- Privacy by design – m4dz
- L'Index Mobile First de Google : Révolution ou encore une prise de tête pour les concepteurs de sites web ? - Dan Bernier
- Le Cloud pour les petits – Rodolphe Rimelé
- Arrêtez de vendre des prestas d'UX dans vos projets web ! - Pierre Fritsch
Le programme complet des conférences est également consultable sur le site de la KiwiParty 2018. Le streaming a été généreusement réalisé par l'agence Blackblitz et sera bientôt visionnable sur notre chaîne youtube Alsacréations. En attendant, vous pouvez le revoir ici !
Des rencontres web et humaines à la KiwiParty
La KiwiParty, ce ne sont pas que des conférences : ce sont aussi nos pauses café et notre goutaÿ qui ont permis des rencontres et des échanges entre amoureu·ses·x du web, pour un networking aux notes sucrées et vegan friendly !Si le petit déjeuner avait été confectionné par les petites mains d'Alsacréations et du WdStr, le goutaÿ a lui été préparé par « Au plaisir des mets », et les foodtrucks « Locadevore » et « À mi-chemin » étaient présents pour vous régaler le midi.
Notre très distingué ::after, tradition de la KiwiParty, a également rassemblé près d'une centaine de participants à la fin de la journée de conférences pour se rafraîchir le gosier et tenter sa chance au BlindTest spécial technologies. Certaines de vos réponses nous auront d'ailleurs bien fait rigoler ;)
Pour retrouver l'ambiance chaleureuse de la KiwiParty, vous pouvez checker le hashtag #kiwiparty sur twitter consulter le flickr officiel.
Les sponsors de la KiwiParty ? C'est les meilleurs !
Nous tenons à remercier particulièrement nos sponsors qui ont rendu possible cette KiwiParty, grâce à leur implication et leurs dons en goodies sur leurs stands ou pour les différents jeux organisés tout au long de la journée.
Goldmember :
Ninja :
Kiwi :
Studio Meta
Inéolab
Jolicode
Apollo
Padawan :
Un grand MERCI aux participant·e·s, aux conférencier·e·s, aux sponsors et à tous ceux qui nous ont suivis sur les réseaux et sociaux et sur le live streaming. On se dit à l'année prochaine ;)
Quelques chiffres clés
Cette édition a rassemblé 217 participant·e·s, soit +20% par rapport à l'an passé, dont 75 personnes restées à l'::after.L'article Alsacréations de présentation de l'événement en est à 4318 lectures actuellement.
Le streaming YouTube a été - à ce jour - suivi par près de 800 personnes dont des pointes à 110 connectés simultanés.
Les photos publiques sont/seront visibles sur les réseaux (Flickr, 500px, Instagram) avec les tags #kiwiparty et #KiwiParty2018.
Les tweets concernant l'événement sont consultables sur twitter.