Bonsoir, On Wed, 17 Dec 2014 00:07:01 +0100 Luc PIERRE <[email protected]> wrote:
> Hello, > l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son > webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour > n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il > me semble que bloquer le chiffrement ne revient pas a bloquer le protocole > et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le > RC4_128 non ? https://www.openssl.org/docs/apps/ciphers.html#ssl_v3_0_cipher_suites_ Effectivement, RC4 n'est qu'une plaie parmi d'autres qui sont supportées dans TLS 1.0, 1.1 et 1.2 mais qui sont interdites par TLS 1.3 (aux côtés des ciphers en mode CBC). Il te faut donc : * interdire SSLv3 ; * interdire les vieilles reliques d'un passé décadent (RC4, 3DES, MD5, et AES-CBC si possible). Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xA0C235A4 (fingerprint : AB0A 5850 FE8F F958 C08A C08E 2FA5 E1F4 A0C2 35A4) http://www.mouet-mouet.net/maxime/blog/index.php _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
