[FRsAG] Parlons Ciphers

Breizh breizh at breizh.me
Mar 19 Mar 00:28:08 CET 2019


Bonjour,

Le Mon, 18 Mar 2019 16:03:39 -0700
daffyduke at lautre.net a écrit:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
> 
> Bonjour à tous,
> 
> Nous nous sommes mis en tête d'améliorer notre support SSL sur nos
> vieilles applications chez mon client. L'histoire commence par un
> audit sécu bien sûr en passant par un dette technique conséquente.
> (on parle de Oracle Weblogic Portal sur de la RedHat 5 qui papote
> avec du Mainframe).
> Bref, dans le tas, on a des trucs simples comme de l'apache ou du
> haproxy. Nous avons manipulé le configurateur de Mozilla plutôt bien
> fait a priori.
> https://mozilla.github.io/server-side-tls/ssl-config-generator/
> 
> La configuration générée semble correspondre à notre besoin (exemple,
> supporté de IE6 sous Windows XP à Chrome sous Windows 10).
> Comprendre les homologations sont satisfaisantes. Mais ça ressemble
> un peu à de la magie ce "tu copies et ça marche". Même si en effet
> croiser toutes les ciphers pour n'en retenir que quelques unes a
> déjà pris pas mal de temps à la main.
> 
> Cela nous amène à une question philosophique.
> 
> Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme
> le fait le lien ci-dessus) ou à l'inverse lister le "max" de ce
> qu'on veut et dégager tout ce que l'on veut explicitement refuser
> (!null, !rc4, ....) tout en laissant les options par défaut
> d'openssl décider de ce qu'il est bon de faire.
> 
> Comment faites vous habituellement ? Et si vous avez des pointeurs
> sur le sujet ça me dit bien aussi.
> 
> Qu'on s'entende bien, je ne cherche pas la plus belle CipherSuite du
> moment mas plutôt la bonne façon d'aborder le sujet.
> 
> Quelques liens connexes pour la culture :
> https://www.howsmyssl.com/s/about.html#insecure-cipher-suites
> 
> https://tls.imirhil.fr/ciphers
> 
> Merci,
> -----BEGIN PGP SIGNATURE-----
> Version: FlowCrypt 6.6.8 Gmail Encryption
> Comment: Seamlessly send and receive encrypted email
> 
> wkYEAREIAAYFAlyQI8oACgkQRjQjk2P2DCzScACgoh1A5PO5NhTCiX/Zzg90
> No40LtEAoJXJCBuZHsD4MUiUS/Fw7xg/APOl
> =f2v3
> -----END PGP SIGNATURE-----
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/

T'as linké l'outil d'Aeris, je te link son article :
https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html

D'après Aeris lui-même, les recommandations de l'article sont toujours
d'actualité.

Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
(HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
supporter mieux). Elle supporte quasiment tout, tout en étant
totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
le support de quelques trucs plus anciens, à la main à partir de la
liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en
débarrasser rapidement.

Breizh.
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 833 octets
Desc: Signature digitale OpenPGP
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190319/4d1950ad/attachment.sig>


Plus d'informations sur la liste de diffusion FRsAG