-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 04/30/2015 10:29 AM, Xavier Beaudouin wrote:
Salut Nicolas,
Je vole le thread pour relancer sur un autre type de souci avec l'administration francaise :
Y'en as d'autres :)
J'ai recu il y a quelques temps de mon employeur l'invitation à m'inscrire sur http://www.moncompteformation.gouv.fr/. J'ai voulu m'inscrire avec mon adresse perso, configurée sur mon serveur perso, selon les recommandations de https://cipherli.st/ :
<troll> Oula! ton serveur perso, mais tu te rends pas compte on peux pas dealer avec toutes les confs qui sont pas standard! Tu n'as pas un compte chez gmail pour qu'on puisse lire tes correspondances ? </troll>
Plus sérieusement, j'ai toujours eu du mal avec les administrations et leur gestion de la sécurité (vu des bases pour nous les geeks).... Et donc j'ai un compte gmail rien que pour ça.
Dommage d'en arriver là mais ils sont tellement formatés (mal) que vers la fin on craque.
Bon le gmail contient que des infos que l’État français a, avec le spam en plus. Donc au moins y a rien de très secret pour eux...
Plus sérieusement aussi, la configuration recommandée pour Postfix sur ce site est particulièrement peu compatible avec le monde réelle et assez peu justifiable. N'autoriser que TLSv1.2, c'est très radical. Et c'est d'ailleurs assez surprenant vu que dans les autres configurations proposées, ils ne sont pas aussi restrictifs.
Il suffit de regarder les autres configurations pour voir que généralement, ils ne désactivent que SSLv2 & SSLv3 (suffit de voir les config Apache, nginx & Lighttpd).
Je ne cherche en rien à excuser les manquements côté gouv.fr, mais, quand on n'accepte que le plus haut des protocoles en laissant de côté ceux qui sont quand même secure, on se met naturellement un peu à l'écart ;-).
À titre d'exemple : https://wiki.mozilla.org/Security/Server_Side_TLS
Just my two cents, - -- Pierre Schweitzer pierre@reactos.org System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V.