En raison de la faille heartbleed de la bibliothèque OpenSSL, j’ai coupé les services en soirée le 7 avril afin de relancer après une compilation en urgence d’OpenSSL pour désactiver l’envoi des heartbeats TLS. Je les ai ensuite relancés une fois cette version installée, et j’ai mis à jour vers la version 1.0.1g aujourd’hui, qui a la fonctionnalité activée sans être vulnérable.

En raison de la nature de la faille, il n’y a pas moyen de savoir si des certificats ont étés compromis, c’est pourquoi j’ai pris la décision de révoquer tous mes certificats puis d’en créer de nouveaux. Les nouveaux sont naturellement signés par mon CA, et ont été créés le 8 avril dans l’après-midi. J’ai également enlevé au préalable les enregistrements DANE-EE qui pointaient vers les vieux certificats, donc les personnes utilisant un validateur DANE ne devraient pas avoir de problème (il reste les enregistrements DANE-TA).

Pour les utilisateurs du serveur XMPP jeproteste.info, la nouvelle empreinte du certificat est AE:E6:60:27:B7:EB:A1:6C:25:63:51:CF:03:EA:A4:9D:F0:62:BD:DD.