Stéphane BortzmeyerMar 2, 2019
Bon, supervision des émissions de certificats pour mes noms de domaine en route. Il reste à attendre que les iraniens fassent un faux certificat pour voir si ça fonctionne vraiment... #cybersécuritay
Show threadBenjamin Sonntag-King 🐙Mar 2, 2019
@bortzmeyer tu fais ça comment avec openssl -ct ? as-tu documenté ça qqpart ?
Je serai intéressé de pouvoir industrialiser ça chez @Octopuce mais n'ai pas encore bien compris comment faire :/
Show threadStéphane BortzmeyerMar 2, 2019

@vincib @Octopuce J'utilise CertStream https://github.com/CaliDog/certstream-python/

Pour l'instant, mon filtrage pour ne garder que les noms de domaines qui m'intéressent n'est pas assez optimisé, il va falloir que j'améliore ça.

CaliDog/certstream-python

Python library for connecting to CertStream. Contribute to CaliDog/certstream-python development by creating an account on GitHub.

Show threadBenjamin Sonntag-King 🐙Mar 2, 2019

@bortzmeyer @Octopuce merci, c'est vraiment très chouette et très utile !

(reste que requêter nos +5000 domaines sur un flux aussi large, ça va pas être simple simple ... )

:D

Show threadStéphane BortzmeyerMar 2, 2019

@vincib @Octopuce Oui, c'est le problème que j'ai.

Suggestion : qu'Octopuce installe le serveur (logiciel libre) sur une de ses machines et fasse ensuite des flux où on peut s'abonner uniquement pour les domaines qui nous intéressent).

Show threadBenjamin Sonntag-King 🐙

@bortzmeyer @Octopuce bon, maintenant, sérieusement, c'est quoi ton service idéal (si possible en progressant des fonctions voulues de suite vers celles souhaitées plus tard ) ;)

- recevoir les cert produits pour une liste de domaine à toi par mail ?
- tu me fournis une URL que j'appelle pour y POSTer lesdits certs ?
et
- souhaites-tu pouvoir y mettre des FQDN complexe, ou juste des "noms de domaines" (au sens niveau public-suffix +1) ?
- combien en as-tu à scanner

Mar 3, 2019 at 10:29amWeb
Show threadStéphane BortzmeyerMar 3, 2019
@vincib @Octopuce
- recevoir les certificats produits pour une liste de domaines à moi par mail (alternative : Atom, WebSocket, MQTT, ActivityPub...)
- en tout cas pull (de mon point de vue de client) et pas push, mon serveur ne devant pas avoir à être allumé tout le temps
- juste des noms de domaine, sachant que, pour toto.fr, il faut signaler les certificats de toto.fr, de machin.truc.toto.fr mais pas de vasytoto.fr
1/2
Show threadStéphane BortzmeyerMar 3, 2019

@vincib @Octopuce
- pour l'utilisateur final (pas opérateur), même grosse entreprise, dix ou vingt noms suffisent

PS : https://github.com/CaliDog/certstream-python/issues/22

2/2

Filtering server-side? · Issue #22 · CaliDog/certstream-python

[I'm not sure if I should file this issue here or with CaliDog/certstream-server. But I experience the problem with a Python program, so...] If you are interested only by a subset of the certif...

Show threadStéphane BortzmeyerMar 4, 2019
@vincib @Octopuce Note que ça te fais dépendre d'un service tiers. Par exemple, ce matin, CertStream semble très perturbé. (Déconnexion/reconnexion tout le temps, et peu de certificats qui arrivent.)
Show threadBenjamin Sonntag-King 🐙Mar 4, 2019
@bortzmeyer @Octopuce bein non : si j'utilise mon propre serveur certstream, je ne dépendrais que des CT logs eux même :)
Show threadStéphane Bortzmeyer (TEST)Mar 7, 2019
@bortzmeyer @vincib Avec un peu plus de recul, je confirme : le *service* (pas forcément le logiciel serveur) CertStream est très peu fiable, et souvent défaillant.

Et, s'il défaille, pas moyen de rattraper les notifications ratées (contrairement aux "brokers" comme RabbitMQ, il n'a pas de "buffer"). Par exemple, ce certificat ne m'a jamais été notifié par CertStream : https://crt.sh/?id=1260291509
crt.sh | 1260291509

Free CT Log Certificate Search Tool from Sectigo (formerly Comodo CA)