[FRsAG] Parlons Ciphers

Luc Didry luc at didry.org
Mar 19 Mar 10:56:10 CET 2019


mardi 19 mars 2019, 10:31:43 CET Bruno Pagani wrote:
> Pas sûr de comprendre : quand tu dis qu’il récupère le cert qui va bien,
> c’est auprès d’une CA ou sur le système de fichiers ? Dans le premier
> cas, le reverse-proxy en front pourrait laisser le démon récupérer les
> certificats et s’en servir lui pour terminer le SSL, non (quitte à
> relayer vers le démon en SSL après si le démon accepte que ça, la
> sécurité plus faible ne serait plus un problème car en interne). Dans le
> second cas, je suis pas expert en reverse-proxy, mais je ne vois pas
> pourquoi ce dernier ne pourrait pas faire le même taf.

Dans le système de fichier, mais c'est pas dans des fichiers plats,
c'est genre
{ 
    "certificate": {
        "cert": "XXX",
        "key": "XXX"
    }
}

Donc il charge le certificat et la clé mais à aucun moment ceux-ci ne
sont présents en fichiers plats au format habituel.

Mais y a des tickets chez Gitlab pour permettre la customisation SSL
du démon, y a qu'à attendre. Pis ça va, c'est un F sur cryptcheck qui
note méchamment mais A chez ssllabs, donc c'est pas forcément le truc
le plus urgent du monde non plus.
-- 
Luc
https://fiat-tux.fr/
https://luc.frama.io/
Internet n'est pas compliqué, Internet est ce que vous en faites.





Plus d'informations sur la liste de diffusion FRsAG