[FRsAG] Parlons Ciphers

Benoît oupsman at oupsman.fr
Mar 19 Mar 08:36:37 CET 2019


Le 19 mars 2019 07:53:50 GMT+01:00, Luc Didry <luc at didry.org> a écrit :
>mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
>> Bonjour,
>> 
>> T'as linké l'outil d'Aeris, je te link son article :
>>
>https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
>> 
>> D'après Aeris lui-même, les recommandations de l'article sont
>toujours
>> d'actualité.
>> 
>> Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
>> (HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
>> est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
>> supporter mieux). Elle supporte quasiment tout, tout en étant
>> totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
>> le support de quelques trucs plus anciens, à la main à partir de la
>> liste de ciphers que tu as donnée de préférence. Ou réfléchir pour
>s'en
>> débarrasser rapidement.
>> 
>> Breizh.
>
>Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai
>fait avec un collègue pour générer un dashboard des notes cryptcheck
>de nos sites :
>https://framagit.org/framasoft/cryptcheck-dashboard/
>
>C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages,
>mais ça serait pas très compliqué à modifier pour un autre setup.
>
>Ça vérifie aussi la présence des enregistrements A et AAAA des
>domaines testés (vu que chez Framasoft, on est tout en double stack
>IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était
>l'oubli du AAAA).
>
>Vous pouvez voir le résultat sur
>https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100%
>de A+ à cause :
>- du démon gitlab pages qui permet pas de changer les protocoles, les
>  ciphers et d'ajouter un en-tête HSTS
>- de loomio, qu'on utilise à partir de docker et qui veut pas changer
>  les protocoles et ciphers malgré mes efforts.
>-- 
>Luc
>https://fiat-tux.fr/
>https://luc.frama.io/
>Internet n'est pas compliqué, Internet est ce que vous en faites.
>
>
>
>_______________________________________________
>Liste de diffusion du FRsAG
>http://www.frsag.org/

Je me permet d'apporter une pierre à l'édifice : au delà des tests avec Cryptcheck, il est intéressant aussi d'utiliser testssl.sh, outil qui teste la vulnérabilité à des failles connues et qui simule les navigateurs les plus répandus et indique si ils pourront se connecter.

Personnellement, j'utilise les deux. 
-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190319/1fa4fbba/attachment-0001.html>


Plus d'informations sur la liste de diffusion FRsAG