Bonjour Il est possible que les certificats de certains sites que l'on cherche à accéder ait été expirés/renouvelés mais dans ces cas (rares - car CA racines souvent valables 10 ans) le message du navigateur est plutôt clair: il ne peut valider le certificat du serveur sur une des CA installés sur le système ou dans le "trust store" du navigateur et propose même de passer outre.
Le message d'erreur indiqué ici "ssl_error_no_cypher_overlap" signifie que le serveur web n'accepte aucun des algorithmes proposés par le navigateur lors de la négociation TLS. Les recommandations habituelles "au goût du jour" sont de n'autoriser rien d'autre que TLS 1.3 Du jour au lendemain, mon vénérable Nokia N900 Maemo (base Debian) n'a donc plus été capable de communiquer avec un de mes sites favoris, qui venait juste de couper le http, redirection forcée vers https en tls 1.3 uniquement. Pré-requis pour un système Linux: openssl version 1.1.1 minimum, ou gnutls 3.6.4 Et autant dire tout de suite que le remplacement d'une openssl 0.9 ou 1.0 par une 1.1 sans se taper la recompilation intégrale des couches supérieures (gtk, qt, applications...) - même sur une Gentoo, il faudra du courage, de la patience, du CPU et les kWh équivalents (ok on est en hiver, ça réchauffe...) Alors oui TLS 1.3 est plus performant et il retire des algos jugés faibles... mais je ne comprends pas pourquoi les sites ne conservent pas le TLS 1.2, en y désactivant ces mêmes algos avec les clefs de configuration idoines du serveur web. À moins d'une vraie raison de la faiblesse de TLS 1.2 - la seule que j'ai identifiée https://access.redhat.com/articles/2112261 ne mérite pas un tel banissement, sauf dans le bancaire probablement - cela me semble être un manque certain de considération pour une certaine "rétro-compatibilité" ou simplement de la flémardise devant ce petit effort de configuration. Conclusion: on ne peut pas aller contre le progrès, sous-prétexte de sécurité, tout est bon pour les mises à jour logicielles/matérielles en mode marche forcée. Mais que voulez-vous c'est plus simple/rapide/moins cher et en plus ça fait "tourner l'économie"... polluante. -- Yves Martin _______________________________________________ gull mailing list [email protected] https://forum.linux-gull.ch/mailman/listinfo/gull
