[FRsAG] Parlons Ciphers

Bruno Pagani bruno.pagani at ens-lyon.org
Mar 19 Mar 10:18:14 CET 2019


Le 19/03/2019 à 07:53, Luc Didry a écrit :
> mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
>> Bonjour,
>>
>> T'as linké l'outil d'Aeris, je te link son article :
>> https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
>>
>> D'après Aeris lui-même, les recommandations de l'article sont toujours
>> d'actualité.
>>
>> Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
>> (HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
>> est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
>> supporter mieux). Elle supporte quasiment tout, tout en étant
>> totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
>> le support de quelques trucs plus anciens, à la main à partir de la
>> liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en
>> débarrasser rapidement.
>>
>> Breizh.
> Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai
> fait avec un collègue pour générer un dashboard des notes cryptcheck
> de nos sites :
> https://framagit.org/framasoft/cryptcheck-dashboard/
>
> C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages,
> mais ça serait pas très compliqué à modifier pour un autre setup.
>
> Ça vérifie aussi la présence des enregistrements A et AAAA des
> domaines testés (vu que chez Framasoft, on est tout en double stack
> IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était
> l'oubli du AAAA).
>
> Vous pouvez voir le résultat sur
> https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100%
> de A+ à cause :
> - du démon gitlab pages qui permet pas de changer les protocoles, les
>   ciphers et d'ajouter un en-tête HSTS
> - de loomio, qu'on utilise à partir de docker et qui veut pas changer
>   les protocoles et ciphers malgré mes efforts.

Un reverse-proxy pour faire la terminaison SSL en amont c’est pas
envisageable ?


-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 488 octets
Desc: OpenPGP digital signature
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190319/4dc024eb/attachment.sig>


Plus d'informations sur la liste de diffusion FRsAG