Auteur Sujet: Grade F (mais avec 68/100) d'après imirhil (CryptCheck)  (Lu 15557 fois)

0 Membres et 1 Invité sur ce sujet

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« le: 07 septembre 2016 à 22:26:28 »
Salut,

Vivien dit vouloir du A(+) sur tout les tests TLS.
Alors là, j'ai du boulot pour lui!^^
Grade F avec un score global de 68/100 (score le plus faible 50/100 en chiffrement) sur imirhil (alias CryptCheck) : https://tls.imirhil.fr/https/lafibre.info

Par contre, là, pas trouvé de doc...

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #1 le: 07 septembre 2016 à 22:55:20 »
Le test regarde le niveau de sécurité des suites de chiffrements les plus faibles utilisables sur le serveur.

Dans le cas présent, il faudrait virer toutes les suites de chiffrement avec 3DES (cf le récapitulatif en haut à droite : fatal ->DES3) pour obtenir un résultat meilleur (ce qui éliminerait le support d'IE8 sous XP, pas une grande perte) pour avoir un score élevé.

En bonus, on peut aussi supprimer toutes les suites de chiffrement sans échange de clefs de type Diffie-Hellman (on parle de confidentialité persistante), puisque d'après SSL Labs, aucun navigateur de sa liste n'en a besoin  ;)

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #2 le: 07 septembre 2016 à 23:22:41 »
On en parlait déjà il y a quelques mois sur ce sujet, et je garde ma position : supprimer TLS 1.0 pose trop de problèmes de compatibilité, supprimer 3DES permet de bannir IE8 sous XP ce qui est plutôt une bonne chose pour la sécurité de ceux qui l'utilisent (surfer sur le web avec ça est dangereux, et ceux qui le gardent pour de l'intranet uniquement ne viennent pas sur ce site)

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #3 le: 08 septembre 2016 à 10:24:46 »
Supprimer Internet Explorer 8, cela me semble problématique, vu le nombre de personnes qui sont forcées d'utiliser ce navigateur en entreprise.

Voici les log du mois d'aout avec Internet Explorer 8 (j'ai supprimé quelques caractères de chaque IP) : 201608_log_lafibre_navigateur_ie8.ods

Fichier Libre office calc, lisible également avec Microsoft Excel.


Voici les recommandation de Mozilla : https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations

Je vise l'intermédiaire.

Voici ma conf, j'ai désactivé le StaplingCache car le site était régulièrement inaccessible avec (pb de renouvellement)
        SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
        SSLProtocol All -SSLv2 -SSLv3
        SSLHonorCipherOrder On
        #SSLSessionTickets off demande Apache 2.4.11min:
        #SSLSessionTickets off
        SSLCompression off
        #SSLUseStapling on
        #SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #4 le: 08 septembre 2016 à 21:06:52 »
Voici les log du mois d'aout avec Internet Explorer 8 (j'ai supprimé quelques caractères de chaque IP) : 201608_log_lafibre_navigateur_ie8.ods
Attention, dans tes logs il y a beaucoup de IE8 sous windows 7, qui lui est compatible (tout comme IE sous windows vista) avec des suites de chiffrement plus modernes. Puis, je n'ai pas l'impression à les lire (à défaut d'écrire un script pour les compter) qu'il y a des masses de visiteurs uniques concernés  ;)

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #5 le: 08 septembre 2016 à 22:11:09 »
En détail, cela donne :
- 513 IP uniques pour "Windows NT 6.1"  =2009=> Windows 7 et Windows Server 2008 R2
- 59 IP uniques pour "Windows NT 6.0"  =2007=> Windows Vista et Windows Server 2008
- 52 IP uniques pour "Windows NT 5.2"  =2003=> Windows XP 64 Bits et Windows Server 2003
- 525 IP uniques pour "Windows NT 5.1"  =2001=> Windows XP
- 5 IP uniques pour un user agent sans OS ou un autre OS (J'ai un IE8 avec un Win 2000 et un avec un Win 8 et le reste sans info OS)

corrector

  • Invité
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #6 le: 25 septembre 2016 à 13:29:39 »
Le test regarde le niveau de sécurité des suites de chiffrements les plus faibles utilisables sur le serveur.

Dans le cas présent, il faudrait virer toutes les suites de chiffrement avec 3DES (cf le récapitulatif en haut à droite : fatal ->DES3) pour obtenir un résultat meilleur (ce qui éliminerait le support d'IE8 sous XP, pas une grande perte) pour avoir un score élevé.
Oui alors si tu peux m'expliquer en quoi proposer 3DES est une vulnérabilité.

Il ne s'agit pas de dire que c'est vieux, que c'est dépassé techniquement, que c'est peu efficace, que n'importe quel autre suite est mieux; en quoi 3DES est "fatal" et fait mériter cette note?

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #7 le: 25 septembre 2016 à 15:21:10 »
en quoi 3DES est "fatal" et fait mériter cette note?
Je ne suis pas spécialiste en cryptographie, je constate juste que des gens plus compétents que moi indiquent que celui-ci, s'il n'est pas publiquement cassé, a une possibilité non négligeable de l'être (et dans ce domaine-là, si on trouve quelque chose, on le garde pour soi), et donc j'explique dans mon message que, pour avoir une meilleure note à ce test, il faudrait supprimer 3DES.

PS : Sachant que les navigateurs ne supportant pas mieux que 3DES sont, à ma connaissance, tous plus mis à jour et avec une sécurité déplorable, en dehors de la sécurité intrinsèque du protocole, ce n'est pas un joli cadeau de continuer à le supporter.

aeris

  • Abonné OVH
  • *
  • Messages: 19
    • Imirhil
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #8 le: 25 septembre 2016 à 21:33:24 »
3DES était déjà sur la sellette depuis un bout de temps (taille de clé de 112 bits seulement et taille de bloc de 64 bits, quand on recommande au moins 128 bits pour les 2).
Mais récemment, tout ce qui est < 128 bits en taille de bloc (3DES mais aussi IDEA) a été cassé officiellement :

Les équipes de OpenSSL conseillent de considérer 3DES au moins aussi moisi que RC4, c’est dire :D

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #9 le: 25 septembre 2016 à 22:23:00 »
Attention, imirhil se définit de lui-même comme étant un extrémiste pour TLS.
Cela influence les notes de son outil ....

aeris

  • Abonné OVH
  • *
  • Messages: 19
    • Imirhil
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #10 le: 25 septembre 2016 à 22:28:48 »
Sur les notations, non. Elles ne sont basées que sur les recommandations diverses et variées que tu peux trouver sur Internet (ANSSI, NIST…) et sur les failles connues.
En plus, rien aujourd’hui ne peut justifier d’avoir en dessous de A, la compatibilité étant assurée (sauf android 2 et IE sous XP, qui sont des zombis plus qu’autres choses, et facilement compatibles si on utilise Firefox dessus…) avec EECDH+AES qui assure A minimum.

La seule vraie différence entre SSLLabs et CryptCheck est que je note la pire des suites disponibles (vous ne pouvez pas avoir moins que ce qui est indiqué) alors que SSLLabs note plus ou moins la meilleure (suppose que tu ne seras pas victime d’une downgrade attack ou que tu utilises un navigateur avec un support décent de TLS, et donc tu peux en pratique tomber sur une suite C ou un D en pratique alors que tu obtiens un A pour ton serveur).

corrector

  • Invité
Grade F (mais avec 68/100) d'après imirhil (CryptCheck)
« Réponse #11 le: 26 septembre 2016 à 00:16:05 »
Je ne suis pas spécialiste en cryptographie, je constate juste que des gens plus compétents que moi indiquent que celui-ci, s'il n'est pas publiquement cassé, a une possibilité non négligeable de l'être (et dans ce domaine-là, si on trouve quelque chose, on le garde pour soi), et donc j'explique dans mon message que, pour avoir une meilleure note à ce test, il faudrait supprimer 3DES.
On remarquera quand même que DES est très ancien et a pas trop mal résisté au temps. Est-ce que les nouveaux algo ont été suffisamment analysés?  8)

Et beaucoup de recherche en cryptanalyse est universitaire et librement accessible.

PS : Sachant que les navigateurs ne supportant pas mieux que 3DES sont, à ma connaissance, tous plus mis à jour et avec une sécurité déplorable, en dehors de la sécurité intrinsèque du protocole, ce n'est pas un joli cadeau de continuer à le supporter.
Je suis d'accord avec cette approche : se mettre en quatre pour supporter des vieilleries est une mauvaise idée, les vieilleries n'étant généralement plus supportées et pleines de trous.