Le Wed, 17 Dec 2014 23:43:30 +0100, Maxime DERCHE <[email protected]> a écrit :
> Bonsoir, > > On Wed, 17 Dec 2014 00:07:01 +0100 > Luc PIERRE <[email protected]> wrote: > > > Hello, > > l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son > > webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour > > n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il > > me semble que bloquer le chiffrement ne revient pas a bloquer le protocole > > et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le > > RC4_128 non ? > > https://www.openssl.org/docs/apps/ciphers.html#ssl_v3_0_cipher_suites_ > > Effectivement, RC4 n'est qu'une plaie parmi d'autres qui sont supportées > dans TLS 1.0, 1.1 et 1.2 mais qui sont interdites par TLS 1.3 (aux côtés des > ciphers en mode CBC). > > Il te faut donc : > * interdire SSLv3 ; > * interdire les vieilles reliques d'un passé décadent (RC4, 3DES, MD5, et > AES-CBC si possible). > > > Bien cordialement, Bonjour, J'apporte ma pierre un peu avec des exemples de confs qui donnent de bons résultats selon Qualys. Attention cependant, ca peut casser la compatibilité avec Mosaic et Netscape sous Windows 3.11... En nginx : ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH; ssl_dhparam /usr/local/etc/nginx/ssl/dhparam.4096.pem; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains"; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; Ou en apache : LoadModule ssl_module modules/mod_ssl.so Listen 443 SSLPassPhraseDialog builtin SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 600 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH Header set Strict-Transport-Security "max-age=31536000" Header append Strict-Transport-Security includeSubDomains Le DH, en 4096 c'est bien, mais ca casse la compat avec java 6, qui supporte max 1024 la dessus. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
