Le 19 mars 2019 07:53:50 GMT+01:00, Luc Didry <luc@didry.org> a écrit :
mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
Bonjour,

T'as linké l'outil d'Aeris, je te link son article :
https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html

D'après Aeris lui-même, les recommandations de l'article sont toujours
d'actualité.

Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
(HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
supporter mieux). Elle supporte quasiment tout, tout en étant
totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
le support de quelques trucs plus anciens, à la main à partir de la
liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en
débarrasser rapidement.

Breizh.

Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai
fait avec un collègue pour générer un dashboard des notes cryptcheck
de nos sites :
https://framagit.org/framasoft/cryptcheck-dashboard/

C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages,
mais ça serait pas très compliqué à modifier pour un autre setup.

Ça vérifie aussi la présence des enregistrements A et AAAA des
domaines testés (vu que chez Framasoft, on est tout en double stack
IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était
l'oubli du AAAA).

Vous pouvez voir le résultat sur
https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100%
de A+ à cause :
- du démon gitlab pages qui permet pas de changer les protocoles, les
ciphers et d'ajouter un en-tête HSTS
- de loomio, qu'on utilise à partir de docker et qui veut pas changer
les protocoles et ciphers malgré mes efforts.

Je me permet d'apporter une pierre à l'édifice : au delà des tests avec Cryptcheck, il est intéressant aussi d'utiliser testssl.sh, outil qui teste la vulnérabilité à des failles connues et qui simule les navigateurs les plus répandus et indique si ils pourront se connecter.

Personnellement, j'utilise les deux.
--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.