Auteur Sujet: Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)  (Lu 15766 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #12 le: 10 avril 2017 à 19:14:33 »
Les version d'Android utilisées sur ce site :

Statistique du mois de mars 2017, en nombre de hits :
- Android 2 :    2788 ( 0,00%)
- Android 3 :     231 ( 0,00%)
- Android 4 :  192367 ( 4,36%)
- Android 5 :  328443 ( 7,45%)
- Android 6 : 3679713 (83,44%)
- Android 7 :  206655 ( 4,69%)
Total       : 4410197


Comme toujours il faut regarder un peu plus en détail pour comprendre les user-agent. J'ai par exemple trouvé 15804 User agent avec le nom "Windows Phone" et "Android 4.0" : Mozilla/5.0 (Mobile; Windows Phone 8.1; Android 4.0; ARM; Trident/7.0; Touch; rv:11.0; IEMobile/11.0; Microsoft; Lumia 640 LTE; Orange) like iPhone OS 7_0_3 Mac OS X AppleWebKit/537 (KHTML, like Gecko) Mobile Safari/537

A noter qu'ils ne posent pas problème en cas de suppression de TLS 1.0 car c'est Internet Explorer 11 qui est utilisé.

Concrètement, voici le détail pour Android 4 :
Android 4.0 (TLS 1.0) :   3549 (0,08%)
Android 4.1 (TLS 1.0) :  19609 (0,44%)
Android 4.2 (TLS 1.0) :  21294 (0,48%)
Android 4.3 (TLS 1.0) :   7307 (0,17%)
Android 4.4 (TLS 1.2) : 124804 (2,83%)
Faux Android 4 (Windows Phone) :15804 (0,36%)


1,17% Des visites mobiles sont réalisés avec Android 4.0 à 4.3
Je vais donc attendre 2018 pour désactiver TLS 1.0

Note : les veilles versions de Firefox / Opéra ne sont pas comptées ici, car elles n'indiquent pas la version d'Android utilisées. Seules les nouvelles version logiciels de ces navigateur indiquent la version d'Android.

Je pense faire évoluer SSLCipherSuite pour ne garder que SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECD

Voici le bout de commande que je pense rajouter dans /etc/apache2/mods-available/ssl.conf :

#Modif optimisaiton SSL
SSLProtocol all -SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECD
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLUseStapling on
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/stapling_cache(150000)

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #13 le: 10 avril 2017 à 19:40:01 »
Tu as oublié d'enlever le SSLv2 dans la nouvelle config  ;)
Par contre, comme je sous-entendais plus tôt, pour Android, le problème ne se trouve que sur le navigateur de base, webview (et quelques autres qui se basent dessus).  Pas de problème pour Chrome par exemple, et il me semble qu'il montre bien la version d'Android ; il faut donnc exclure de ces chiffres les navigateurs compatibles.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #14 le: 10 avril 2017 à 20:09:29 »
Et sinon HTTP/2 ? Via le PPA d'ondrej ça marche bien sous Ubuntu.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #15 le: 10 avril 2017 à 20:15:33 »
Tu as oublié d'enlever le SSLv2 dans la nouvelle config  ;)
SSL n'est plus supporté (aussi bien v2 que v3):
openssl (1.0.2d-2) experimental; urgency=medium

  * Build with no-ssl3-method to remove all SSLv3 support.  This results in
    the functions SSLv3_method(), SSLv3_server_method() and
    SSLv3_client_method() being removed from libssl.  Change the soname as
    result of that and also changes name of the binary package.
    (Closes: #768476)
  * Enable rfc3779 and cms support (Closes: #630790)
  * Fix cross compilation for mips architectures. (Closes: #782492)

 -- Kurt Roeckx <kurt@roeckx.be>  Sun, 06 Sep 2015 14:21:27 +0200

Et sinon HTTP/2 ? Via le PPA d'ondrej ça marche bien sous Ubuntu.
* jack donne un proxy nginx à Vivien

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #16 le: 10 avril 2017 à 20:19:01 »
Quel intéret d'utiliser un proxy alors qu'Apache marche très bien :3

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #17 le: 10 avril 2017 à 20:22:32 »
Je serai ravi de t'expliquer le fonctionnement du protocole HTTP en parallèle de l'analyse des détails de l'implèmentation des produits sus-nommés, si cela n'était hors-sujet ..

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #18 le: 10 avril 2017 à 21:29:02 »
Tu as oublié d'enlever le SSLv2 dans la nouvelle config  ;)
Comme le dit jack, il n'est pas nécessaire de supprimer qq chose qui n'existe plus dans le code. (il est impossible de l'activer)

Par contre, comme je sous-entendais plus tôt, pour Android, le problème ne se trouve que sur le navigateur de base, webview (et quelques autres qui se basent dessus).  Pas de problème pour Chrome par exemple, et il me semble qu'il montre bien la version d'Android ; il faut donnc exclure de ces chiffres les navigateurs compatibles.

Les 51759 hits pour Android 4.0 a 4.3 se répartissent en 30488 Hits pour Google chrome et 21271 pour le reste (le navigateur intégré).

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #19 le: 03 septembre 2017 à 15:23:30 »
Internet Explorer 8 sous Windows XP n'est plus supporté depuis aujourd'hui sur https://LaFibre.info

Après de nombreuses hésitations pour le durcissement du SSL, j'ai pris l'option de retirer uniquement les suites 3DES, qui ne sont plus sures.
Fin août 2016, des chercheurs en sécurité ont révélé une attaque contre des algorithmes de chiffrement utilisant des blocs de chiffrement 64 bits. Ce type d'attaque nécessite un très gros volume de trafic, cela doit alerter sur les algorithmes de chiffrement plus anciens et plus faibles qui ne doivent plus être utilisés. Concernant le protocole TLS, il implique d'éviter 3DES.

Concrètement, cela bloque Internet Explorer 8 sous Windows XP.
IE 8 sous Windows Vista ou 7 continue de fonctionner.

Voici ce que cela donne maintenant avec IE8 sous Windows XP :


Il y a tout juste 3 ans, je retirais SSLv3 et donc la compatibilité de Internet Explorer 6.


Internet Explorer 6 n'est plus supporté depuis aujourd'hui sur https://LaFibre.info



Concrètement, j'ai supprimé le support de SSLv3 pour https.

Internet Explorer ne prend pas en charge TLSv1 par défaut (il faut cocher une case les options, je me demande bien pourquoi ce n'est pas activé par défaut)

Concrètement, cela fait comme si le site n'existait pas :


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #20 le: 03 septembre 2017 à 16:23:50 »
Techniquement voici mon SSLCipherSuite aujourd'hui :

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS

Et voici la notation SSL Labs (je conserve mon A+ et reste compatibles avec presque tous les navigateurs, sauf les plus anciens)



vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2)
« Réponse #21 le: 03 septembre 2017 à 16:33:41 »
Prochaine étape en septembre 2018 ou septembre 2019 : suppression de TLS 1.0 et TLS 1.1
(septembre, car je considère que certains utilisent de vieux navigateurs pendant les vacances de juillet / août : il est donc optimal de supprimer la compatibilité avec vieux navigateurs en septembre)

Les navigateurs qui supportent TLS 1.2 par défaut (sans aller dans la configuration pour l'activer)  :
- Firefox 27 et supérieur
- Google Chrome 38 et supérieur
- Microsoft Internet Explorer 11 ou Microsoft Edge
- Safari versions 7 et supérieur (OS X 10.9 Mavericks et supérieur)
- Opera 12.18 et supérieur
- Navigateur par défaut d'Android 5.0 ou supérieur
- Mobile Safari versions 5 et supérieur (iOS 5 et supérieur)

Coté Mac, il y a des personnes sur ce forum qui ont de vieux mac et qui naviguent avec Safari 6. (exemple : Virginie)
J'ai validé avec elle : si elle bascule sur Firefox ou Chrome - tous les deux plus maintenus pour sa versoin de MAcOS X - elle aura le TLS 1.2

Coté Android, il y a des tablette Android 4 qui continuent d'utiliser le navigateur par défaut. Là aussi basculer sur Chrome résout le problème.

Coté Internet Explorer, cela donnerait :
- Internet Explorer 6.0 : Sortie le 27 août 2001 => Support retiré de LaFibre.info le 7 septembre 2014
- Internet Explorer 8.0 : Sortie le 19 mars 2009 => Support retiré de LaFibre.info le 7 septembre 2017
- Internet Explorer 10.0 : Sortie le 26 octobre 2012 => Support retiré de LaFibre.info en septembre 2018 ou septembre 2019 ?

Windows Server 2012 est le seul système d'exploitation Microsoft maintenu qui ne supporte pas IE 11 (Maintenant Windows Server ce n'est pas fait pour surfer sur Internet). Tous les autres proposent IE11 et donc TLS1.2 dans les mises à jour.

J'ai analysé les logs du forum pour voir quelles versions de Internet Explorer sont utilisées.

Voici les statistiques pour le mois mars 2017 :
- Trident/4.0 (Internet Explorer 8 ) :    16 104 hits ( 0,91% des hits réalises avec Internet Explorer)
- Trident/5.0 (Internet Explorer 9 ) :   342 495 hits (19,27% des hits réalises avec Internet Explorer)
- Trident/6.0 (Internet Explorer 10) :    25 395 hits ( 1,43% des hits réalises avec Internet Explorer)
- Trident/7.0 (Internet Explorer 11) : 1 393 451 hits (78,40% des hits réalises avec Internet Explorer)
Total pour Internet Explorer        : 1 777 445 hits



On voit que la part de Internet Explorer 9 est anormalement élevée.
J'ai regardé les log : les user-agent avec Trident/5.0 sont bien ceux d'un véritable navigateur Internet Explorer 9.
J'ai regardé les requêtes : cela semble des requêtes pertinentes (pas le même objet téléchargé 300 000 fois.
Je note par contre un surf assez bien répartie dans la journée (normalement, il y a beaucoup moins de pages vues la nuit)

J'ai donc réalisé un graphe pour voir la répartition du nombre de hits par adresse IP :


On voit que la que 90% des requêtes sont réalisées par des tranches IP qui se suivent t qui ont chacune un volume de Hit identique.
J'ai entouré en rouge les 3 plages IP en question.


- 131.253.24.128 à 131.253.24.159
- 131.253.25.128 à 131.253.25.255
- 131.253.26.222 à 131.253.26.255
- 131.253.27.0 à 131.253.27.212
- 131.253.36.195 à 131.253.36.206
- 204.79.180.0 à 204.79.180.255
- 65.55.210.0 à 65.55.210.209
- 65.55.211.242 à 65.55.211.251
- 65.55.212.64 à 65.55.212.95
- 65.55.213.24 à 65.55.213.31
- 65.55.218.32 à 65.55.218.63
- 65.55.54.191 à 65.55.54.204

Voici la liste complète des log sur ces plages IP : 201703_log_lafibre_ie9_bingbots.ods (Fichier LibreOffice Calc, lisible avec Microsoft Excel)

131.253.25.128 à 131.253.25.255 + 131.253.27.0 à 131.253.27.212
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b

157.55.12.64 à 157.55.12.92 + 157.55.154.194 à 157.55.154.196 + 157.55.2.129 à 157.55.2.191
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

157.55.39.0 à 157.55.39.251
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

199.30.16.160 à 199.30.16.187 + 199.30.17.50 + 199.30.24.1 à 199.30.24.255 + 199.30.25.0 à 199.30.25.255
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

207.46.13.10 à 207.46.13.255
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

40.77.160.76 + 40.77.162.31 à 40.77.162.37 + 40.77.165.155 à 40.77.165.222
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

40.77.167.0 à 40.77.167.136
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)

40.77.170.2 + 40.77.171.0 à 40.77.171.45 + 40.77.177.12 à 40.77.177.253 + 40.77.178.1 à 40.77.178.254 + 40.77.179.13 à 40.77.179.249
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

65.55.210.0 à 65.55.210.254
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b

65.55.213.24 à 65.55.213.31 + 65.55.54.191 à 65.55.54.204
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Prochaine étape en septembre 2018 ou septembre 2019 : suppression de TLS 1.0 et TLS 1.1

Je supprimerais TLS 1.0 et TLS 1.1 le 1er novembre 2018.

A partir du 1er novembre 2018 il faudra donc un navigateur récent pour surfer sur LaFibre.info :
- Firefox 27 et supérieur
- Google Chrome 38 et supérieur
- Microsoft Internet Explorer 11 ou Microsoft Edge
- Safari versions 7 et supérieur (OS X 10.9 Mavericks et supérieur)
- Opera 12.18 et supérieur
- Navigateur par défaut d'Android 5.0 ou supérieur
- Mobile Safari versions 5 et supérieur (iOS 5 et supérieur)

Cette configuration est déjà en place sur https://testdebit.info/
=> Si vous arrivez a charger la page https://testdebit.info/ c'et que votre navigateur est compatible.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
J'ai sorti mon Opera 12.18 pour l'occasion. ;D
testdebit s'affiche bien avec. 8)
Par contre, pas le test au milieu de la page: "Loading nPerf plugin..." (HTML5 je suppose). C'est le seul bémol, mais de taille pour ceux qui voulaient un speedtest classique.