[FRsAG] Parlons Ciphers

Bégault Luc luc at begault.net
Mar 19 Mar 13:11:36 CET 2019


Le 19/03/2019 à 00:03, daffyduke at lautre.net a écrit :

> Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le fait
> le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et
> dégager tout ce que l'on veut explicitement refuser  (!null, !rc4, ....)
> tout en laissant les options par défaut d'openssl décider de ce qu'il est
> bon de faire.

Philosophiquement, je dirais que de refuser tout ce qui est dangereux 
(par défaut je me base sur 
https://www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-relatives-a-tls/ 
comme source) est la bonne façon de faire. Ainsi la négociation se 
faisant sur le "meilleur" commun tu bénéficies des améliorations quand 
elle sont disponibles.


> Qu'on s'entende bien, je ne cherche pas la plus belle CipherSuite du moment
> mas plutôt la bonne façon d'aborder le sujet.
> 

Lorsque j'ai été confronté au sujet, je me suis basé sur les 
statistiques de ma terminaison ssl afin de déterminer les taux d'usage. 
Ensuite il a fallut présenter aux entités supérieurs l'avantage de mieux 
sécuriser les communications à contre balancer avec les pertes business 
de quelques clients obsolètes.

Bon courage.



Plus d'informations sur la liste de diffusion FRsAG