[FRsAG] [SPAM+++] Parlons Ciphers

Bruno Pagani bruno.pagani at ens-lyon.org
Mar 19 Mar 00:10:04 CET 2019


Bonsoir,

Le 19/03/2019 à 00:03, daffyduke at lautre.net a écrit :
> Bonjour à tous,
>
> Nous nous sommes mis en tête d'améliorer notre support SSL sur nos
> vieilles
> applications chez mon client. L'histoire commence par un audit sécu bien
> sûr en passant par un dette technique conséquente.
> (on parle de Oracle Weblogic Portal sur de la RedHat 5 qui papote avec du
> Mainframe).
> Bref, dans le tas, on a des trucs simples comme de l'apache ou du haproxy.
> Nous avons manipulé le configurateur de Mozilla plutôt bien fait a priori.
> https://mozilla.github.io/server-side-tls/ssl-config-generator/
>
> La configuration générée semble correspondre à notre besoin (exemple,
> supporté de IE6 sous Windows XP à Chrome sous Windows 10). Comprendre les
> homologations sont satisfaisantes. Mais ça ressemble un peu à de la magie
> ce "tu copies et ça marche". Même si en effet croiser toutes les ciphers
> pour n'en retenir que quelques unes a déjà pris pas mal de temps à la
> main.
>
> Cela nous amène à une question philosophique.
>
> Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le fait
> le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et
> dégager tout ce que l'on veut explicitement refuser  (!null, !rc4, ....)
> tout en laissant les options par défaut d'openssl décider de ce qu'il est
> bon de faire.
>
> Comment faites vous habituellement ? Et si vous avez des pointeurs sur le
> sujet ça me dit bien aussi.

Personnellement, je me contente de lister uniquement ce que j’accepte
(dans mon cas ECDHE+CHACHA20:ECDHE+AESGCM:ECDHE+AESCCM), mais ça n’est
pas forcément le plus simple selon ce que tu veux supporter. De mon côté
c’est assez simple car la liste est courte.



Plus d'informations sur la liste de diffusion FRsAG