Le 19/03/2019 à 07:53, Luc Didry a écrit :
mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
Bonjour,
T'as linké l'outil d'Aeris, je te link son article : https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.h...
D'après Aeris lui-même, les recommandations de l'article sont toujours d'actualité.
Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS (HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant supporter mieux). Elle supporte quasiment tout, tout en étant totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter le support de quelques trucs plus anciens, à la main à partir de la liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en débarrasser rapidement.
Breizh.
Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai fait avec un collègue pour générer un dashboard des notes cryptcheck de nos sites : https://framagit.org/framasoft/cryptcheck-dashboard/
C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages, mais ça serait pas très compliqué à modifier pour un autre setup.
Ça vérifie aussi la présence des enregistrements A et AAAA des domaines testés (vu que chez Framasoft, on est tout en double stack IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était l'oubli du AAAA).
Vous pouvez voir le résultat sur https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100% de A+ à cause :
- du démon gitlab pages qui permet pas de changer les protocoles, les ciphers et d'ajouter un en-tête HSTS
- de loomio, qu'on utilise à partir de docker et qui veut pas changer les protocoles et ciphers malgré mes efforts.
Un reverse-proxy pour faire la terminaison SSL en amont c’est pas envisageable ?