[FRsAG] [SPAM+++] Parlons Ciphers

Jonathan bartoua Schneider bartoua at gmail.com
Mar 19 Mar 12:19:04 CET 2019


Hello,

Généralement, à taf-1 on avait 2 cas :
- Système sécurisé pour administrations => Préco de l'ANSSI/BSI => pas le
choix on applique la CS donnée par l'autorité.
- Grand public => on désactive les protocoles les plus pourris (SSLv* et
TLSv1 voire interdire aussi le TLSv1.1 si on fait du SNI), ensuite on
désactive les algos évidents (!eNULL, !aNULL, !LOW, !SHA). Ensuite on
recroise avec les précos officielles et les navigateurs supportés.

Pour du IE6, tu dois obligatoirement garder le TLSv1.0, les OS ne
supportant que TLSv1.0 dans les version supportant IE6.

Si tu utilises un reverse proxy devant tu vas peut être devoir jouer avec
les directives pour affaiblir les CS et protocoles possibles vers ton
serveur derrière. Par exemple si ton serveur est en SSLv3 et que ton RP est
un httpd >2.4.16, le SSLv3 est désactivé par défaut, il va falloir le
réactiver.

Jonathan


Le mar. 19 mars 2019 à 11:43, Jérôme BERTHIER via FRsAG <frsag at frsag.org> a
écrit :

> Bonjour,
>
> Le 19/03/2019 à 00:10, Bruno Pagani a écrit :
> > Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le
> fait
> > le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et
> > dégager tout ce que l'on veut explicitement refuser  (!null, !rc4, ....)
> > tout en laissant les options par défaut d'openssl décider de ce qu'il est
> > bon de faire.
>
> Plutôt ça effectivement, ce qui donne à ce jour :
>
> HIGH:!ADH:!AECDH:!MD5:!SHA:!RC4:!3DES
>
> Cdt,
>
> --
> Jérôme BERTHIER
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/



-- 
bartoua est votre ami
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190319/d27c6021/attachment.html>


Plus d'informations sur la liste de diffusion FRsAG