Le 19/03/2019 à 00:03, daffyduke@lautre.net a écrit :
Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le fait le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et dégager tout ce que l'on veut explicitement refuser (!null, !rc4, ....) tout en laissant les options par défaut d'openssl décider de ce qu'il est bon de faire.
Philosophiquement, je dirais que de refuser tout ce qui est dangereux (par défaut je me base sur https://www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-relativ... comme source) est la bonne façon de faire. Ainsi la négociation se faisant sur le "meilleur" commun tu bénéficies des améliorations quand elle sont disponibles.
Qu'on s'entende bien, je ne cherche pas la plus belle CipherSuite du moment mas plutôt la bonne façon d'aborder le sujet.
Lorsque j'ai été confronté au sujet, je me suis basé sur les statistiques de ma terminaison ssl afin de déterminer les taux d'usage. Ensuite il a fallut présenter aux entités supérieurs l'avantage de mieux sécuriser les communications à contre balancer avec les pertes business de quelques clients obsolètes.
Bon courage.