[FRsAG] Parlons Ciphers

Luc Didry luc at didry.org
Mar 19 Mar 07:53:50 CET 2019


mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
> Bonjour,
> 
> T'as linké l'outil d'Aeris, je te link son article :
> https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
> 
> D'après Aeris lui-même, les recommandations de l'article sont toujours
> d'actualité.
> 
> Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
> (HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
> est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
> supporter mieux). Elle supporte quasiment tout, tout en étant
> totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
> le support de quelques trucs plus anciens, à la main à partir de la
> liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en
> débarrasser rapidement.
> 
> Breizh.

Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai
fait avec un collègue pour générer un dashboard des notes cryptcheck
de nos sites :
https://framagit.org/framasoft/cryptcheck-dashboard/

C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages,
mais ça serait pas très compliqué à modifier pour un autre setup.

Ça vérifie aussi la présence des enregistrements A et AAAA des
domaines testés (vu que chez Framasoft, on est tout en double stack
IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était
l'oubli du AAAA).

Vous pouvez voir le résultat sur
https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100%
de A+ à cause :
- du démon gitlab pages qui permet pas de changer les protocoles, les
  ciphers et d'ajouter un en-tête HSTS
- de loomio, qu'on utilise à partir de docker et qui veut pas changer
  les protocoles et ciphers malgré mes efforts.
-- 
Luc
https://fiat-tux.fr/
https://luc.frama.io/
Internet n'est pas compliqué, Internet est ce que vous en faites.





Plus d'informations sur la liste de diffusion FRsAG