[FRsAG] Parlons Ciphers

daffyduke at lautre.net daffyduke at lautre.net
Mar 19 Mar 00:03:39 CET 2019


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Bonjour à tous,

Nous nous sommes mis en tête d'améliorer notre support SSL sur nos vieilles
applications chez mon client. L'histoire commence par un audit sécu bien
sûr en passant par un dette technique conséquente.
(on parle de Oracle Weblogic Portal sur de la RedHat 5 qui papote avec du
Mainframe).
Bref, dans le tas, on a des trucs simples comme de l'apache ou du haproxy.
Nous avons manipulé le configurateur de Mozilla plutôt bien fait a priori.
https://mozilla.github.io/server-side-tls/ssl-config-generator/

La configuration générée semble correspondre à notre besoin (exemple,
supporté de IE6 sous Windows XP à Chrome sous Windows 10). Comprendre les
homologations sont satisfaisantes. Mais ça ressemble un peu à de la magie
ce "tu copies et ça marche". Même si en effet croiser toutes les ciphers
pour n'en retenir que quelques unes a déjà pris pas mal de temps à la main.

Cela nous amène à une question philosophique.

Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le fait
le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et
dégager tout ce que l'on veut explicitement refuser  (!null, !rc4, ....)
tout en laissant les options par défaut d'openssl décider de ce qu'il est
bon de faire.

Comment faites vous habituellement ? Et si vous avez des pointeurs sur le
sujet ça me dit bien aussi.

Qu'on s'entende bien, je ne cherche pas la plus belle CipherSuite du moment
mas plutôt la bonne façon d'aborder le sujet.

Quelques liens connexes pour la culture :
https://www.howsmyssl.com/s/about.html#insecure-cipher-suites

https://tls.imirhil.fr/ciphers

Merci,
-----BEGIN PGP SIGNATURE-----
Version: FlowCrypt 6.6.8 Gmail Encryption
Comment: Seamlessly send and receive encrypted email

wkYEAREIAAYFAlyQI8oACgkQRjQjk2P2DCzScACgoh1A5PO5NhTCiX/Zzg90
No40LtEAoJXJCBuZHsD4MUiUS/Fw7xg/APOl
=f2v3
-----END PGP SIGNATURE-----


Plus d'informations sur la liste de diffusion FRsAG