Bonsoir
De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
vulnérables.
Je pense que vous devez inventorier les clients mail qui seront
utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
!TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
part sur une vieille source non maintenue (elles pulullent et ce mail
sera obsolète dans quelques mois ou années).
En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
valable (de ce que je sais à ce jour).
Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
commande openssl s_client que j'ai donnée il y a quelques jours et
ajoutez un argument qui force l'usage d'une méthode de chiffrement.
Essayez successivement les arguments suivants:
-ssl2-ssl3-tls1-tls1_1-tls1_2
(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client
.html)
Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
connection réussie. Les autres doivent échouer.
Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
la connaissance suffisante à ce sujet mais c'est encore uen question de
réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki
/Confidentialit%C3%A9_persistante)
Peut être que la cipher suite préférée pour mon serveur web sera
intéressante; je la partage tout à l'heure.
Le vendredi 31 mars 2017 à 19:00 +0200, andre_deb...@numericable.fr a
écrit :
> On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> > Ce serait intéressant de savoir ce que contenant la liste
> > ssl_cipher_list avant modification, et ce qu'elle contient
> maintenant.
>
> Avant :
> ssl_cipher_list =
> ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
> +HIGH:+MEDIUM
>
> Maintenant :
> ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES
> @STRENGTH
>
> > Je vous invite à utiliser un outil de test SSL / TLS en ligne :
>
> SSL/TLS est bien activé et l'outil de test est positif,
> openssl, testssl etc...
>
> > pour affiner la configuration maintenant, car il y a un paquet
> > de choses à faire pour avoir un chiffrement pas trop fragile.
>
> "Affiner et un paquet de choses à faire" :
> que peut-on faire ? Là je suis dépassé...
>
> André
>
>
>
