Stéphane BortzmeyerMar 2, 2019
Bon, supervision des émissions de certificats pour mes noms de domaine en route. Il reste à attendre que les iraniens fassent un faux certificat pour voir si ça fonctionne vraiment... #cybersécuritay
Show threadBenjamin Sonntag-King 🐙Mar 2, 2019
@bortzmeyer tu fais ça comment avec openssl -ct ? as-tu documenté ça qqpart ?
Je serai intéressé de pouvoir industrialiser ça chez @Octopuce mais n'ai pas encore bien compris comment faire :/
Show threadStéphane BortzmeyerMar 2, 2019

@vincib @Octopuce J'utilise CertStream https://github.com/CaliDog/certstream-python/

Pour l'instant, mon filtrage pour ne garder que les noms de domaines qui m'intéressent n'est pas assez optimisé, il va falloir que j'améliore ça.

CaliDog/certstream-python

Python library for connecting to CertStream. Contribute to CaliDog/certstream-python development by creating an account on GitHub.

Show threadBenjamin Sonntag-King 🐙Mar 2, 2019

@bortzmeyer @Octopuce merci, c'est vraiment très chouette et très utile !

(reste que requêter nos +5000 domaines sur un flux aussi large, ça va pas être simple simple ... )

:D

Show threadStéphane BortzmeyerMar 2, 2019

@vincib @Octopuce Oui, c'est le problème que j'ai.

Suggestion : qu'Octopuce installe le serveur (logiciel libre) sur une de ses machines et fasse ensuite des flux où on peut s'abonner uniquement pour les domaines qui nous intéressent).

Show threadBenjamin Sonntag-King 🐙Mar 2, 2019
@bortzmeyer @Octopuce J'y suis presque ;) pour l'instant j'ai surtout *beaucoup* de données :D
ai écris 63 lignes de python3 qui remplissent une base MariaDB avec les certificats (en mettant les CA-chaînes sur une table à part ;) )
avec les extraction public-suffix des SAN des certificats dans une troisième table ...
en faire un service va devenir un jeu d'enfant
Show threadBenjamin Sonntag-King 🐙Mar 2, 2019
@bortzmeyer @Octopuce pour l'instant il faut s'attendre à 1.5m de cert par jour et 4.7Go de donnée par jour.
Show threadBenjamin Sonntag-King 🐙Mar 2, 2019
@bortzmeyer @Octopuce et ça marche plutôt bien ;)
#UnProjetUnDomaine
Show threadLordMar 3, 2019
@vincib @bortzmeyer @[email protected] Je suis trop naïf de penser qu'utiliser CAA devrait suffire ?
(Tant que les navigateurs banissent les CA ne se conformant pas à ce champs bien entendu.)
Show threadBenjamin Sonntag-King 🐙

@lord @bortzmeyer le projet certificate transparency de google explique bien les différents attributs des différents protocoles :

https://www.certificate-transparency.org/comparison

Comparison with Other Technologies - Certificate Transparency

This site describes the Certificate Transparency effort being spearheaded by Ben Laurie, Adam Langley and Stephen McHenry. The effort is designed to significantly increase the security of the Public Key Infrastructure used by web sites and services.

Mar 3, 2019 at 9:37amWeb