Auteur Sujet: Améliorer le https de LaFibre.info (fin du support de IE8/XP et Android 2) (Lu 15883 fois)

vivien · « **le:** 09 avril 2017 à 16:40:43 »

La fin du support d'Internet Explorer 9 pour Windows Vista va arriver le 11 avril 2017, soit dans deux jours.
La fin du support de Firefox pour Windows Vista interviendra en septembre 2017. Chrome a déjà arrêté le support de Windows Vista depuis 1 an)

Je pense profiter de cette occasion pour améliorer le https de LaFibre.info a cette occasion, en cessant d'être lisible sur les navigateurs les plus anciens (Internet Explorer 8 sous Windows XP, Android 2.x et 3.X).

=> Quel sont vos suggestions ?

LaFibre.info est toujours Noté A+ par SSL Labs (cf https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info )
Mais aussi noté F sur CryptCheck (cf https://tls.imirhil.fr/https/lafibre.info), ce dernier test étant plus strict

Citation de: thenico le 25 septembre 2016 à 22:23:00

Attention, imirhil se définit de lui-même comme étant un extrémiste pour TLS.
Cela influence les notes de son outil ....

Aujourd'hui la configuration SSL de LaFibre.info est la suivante :[/size]

Code: [Sélectionner]

	SSLProtocol all -SSLv2 -SSLv3
	SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
	SSLHonorCipherOrder on
	SSLCompression off
	SSLOptions +StrictRequire
	SSLUseStapling on
	SSLStaplingCache shmcb:${APACHE_RUN_DIR}/stapling_cache(150000)

Cela permet une compatibilité avec :
- Android 2.3 et supérieur
- IE 7 (Windows XP et Windows Vista) et supérieur
- Toutes les versions de Firefox, Chrome, Edge

Mozilla propose 3 configurations sur https://wiki.mozilla.org/Security/Server_Side_TLS : (cf Générateur https://mozilla.github.io/server-side-tls/ssl-config-generator/ )
- Moderne : Nécessite au minimum : Firefox 27, Chrome 30, IE 11 on Windows 7, Edge, Opera 17, Safari 9, Android 5.0, Java 8.
- Intermédiaire : Nécessite au minimum : Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7.
- Ancien : Compatible avec les vieux Windows XP IE6, Java 6,...

Aujourd'hui LaFibre.info est a peu de chose prés dans la configuration "Intermédiaire", mais le saut vers moderne laisse trop de PC sur le carreau (Android 4, Internet Explorer 10, Safari 8.

=> Je cherche a augmenter la sécurité, mais a garder la compatibilité avec Android 4.0 (donc TLS 1.0) et Internet Explorer 10 (TLS 1.0) : Quelles sont vos propositions ? Je pense qu'il est nécessaire de se séparer de 3DES.

Hugues · « **Réponse #1 le:** 09 avril 2017 à 17:31:30 »

Voilà ce que j'ai sur mes sites :

SSLEngine on SSLProtocol -all +TLSv1.2 SSLCipherSuite EECDH+AES:+AES128:+AES256:+SHA SSLCompression off SSLOpenSSLConfCmd Curves sect571r1:secp521r1:secp384r1 SSLOptions +StrictRequire SSLHonorCipherOrder on SSLCompression off Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*?(.*)) "$1; Secure$3$4" #HSTS ! Header always set Strict-Transport-Security "max-age=15552001; includeSubDomains; preload"

buddy · « **Réponse #2 le:** 09 avril 2017 à 17:49:59 »

Citation de: vivien le 09 avril 2017 à 16:40:43

Aujourd'hui LaFibre.info est a peu de chose prés dans la configuration "Intermédiaire", mais le saut vers moderne laisse trop de PC sur le carreau (Android 4, Internet Explorer 10, Safari 8.

=> Je cherche a augmenter la sécurité, mais a garder la compatibilité avec Android 4.0 (donc TLS 1.0) et Internet Explorer 10 (TLS 1.0) : Quelles sont vos propositions ? Je pense qu'il est nécessaire de se séparer de 3DES.[/size]

As tu des statistiques des pcs sous ie10 qui viennent ici ?
Idem pour safari 8 et Android 4 ?
Je pense que Android 4 est le plus répandu des 3.. Et peut être le point bloquant..

Hugues · « **Réponse #3 le:** 09 avril 2017 à 18:01:00 »

4.0, donc pas 4.2 et plus ? Et seulement le navigateur de base, non ?

vivien · « **Réponse #4 le:** 09 avril 2017 à 18:09:44 »

Citation de: buddy le 09 avril 2017 à 17:49:59

As tu des statistiques des pcs sous ie10 qui viennent ici ?

On m'avais posé cette question pour IE8 :

Citation de: alegui le 08 septembre 2016 à 21:06:52

Citation de: vivien le 08 septembre 2016 à 10:24:46
Voici les log du mois d'aout avec Internet Explorer 8 (j'ai supprimé quelques caractères de chaque IP) : 201608_log_lafibre_navigateur_ie8.ods
Attention, dans tes logs il y a beaucoup de IE8 sous windows 7, qui lui est compatible (tout comme IE sous windows vista) avec des suites de chiffrement plus modernes. Puis, je n'ai pas l'impression à les lire (à défaut d'écrire un script pour les compter) qu'il y a des masses de visiteurs uniques concernés

Depuis début janvier, je répond avec un mauvais certificat pour les navigateurs sans SNI (Internet Explorer sous Windows XP et Android 2)

=> Il est possible d'accéder au site mais après un message bien dissuasif :

Je n'ai eu aucune plainte en près de 4 mois.
=> Je pense donc que je peut sans risque supprimer ces vieux navigateurs.

Passer a l'étape suivante et supprimer toutes les versions d'Internet Explorer sauf la version 11 me semble par contre un peu tôt.

Si tout le monde pense que c'est une bonne idée de passer à la configuration "Moderne", je le ferais, mais peu de sites à forte audience on fait ce choix.

Je rappelle que Android 4.1 est sortie en juillet 2012 et est arrivé réellement sur le marché avec des smartphones en 2013. Beaucoup n'ont pas été mis à jour (à l'époque ce n'était pas via des mises à jour over the air, mais il fallait le connecter à un PC avec une application propriétaire).

J'ai un peu de mal à coupé bon nombre de smartphones achetés en 2013 / 2014.

Hugues · « **Réponse #5 le:** 09 avril 2017 à 18:18:05 »

tu coupes seulement le navigateur intégré, non ?

vivien · « **Réponse #6 le:** 09 avril 2017 à 18:35:42 »

Je n'ai pas de mobiles avec Android 4.0

J'ai voulu tester avec le Samsung Galaxy 551 (i5510) un mobile qui a eu peu de mise à jour, l'unique mise à jour proposé est Android 2.3.6
Il reste apprécié des jeunes, ce mobile HSDPA (3G+) et Wifi 802.11n avec un véritable clavier sur le côté (side-slider) en plus de l'écran 240x400 pixels tactile (multitouch capacitif).

LaFibre.info fonctionne bien, avec un message d'erreur du certificat, comme prévu.
Google.fr foncitonne, mais en ... http. il ne bascule pas en https

Le "Market" de Google (il ne s'appelait pas Play Store à l'époque) ne fonctionne plus en ne permet pas de télécharger une application.

Snickerss · « **Réponse #7 le:** 09 avril 2017 à 18:38:21 »

Le courage de ces personnes à utiliser encore ca .. ^^

alegui · « **Réponse #8 le:** 09 avril 2017 à 18:41:49 »

Citation de: Snickerss le 09 avril 2017 à 18:38:21

Le courage de ces personnes à utiliser encore ca .. ^^

J'ai utilisé récemment en secours un "smartphone" sous android 2.2 (l'ultra low-cost de l'époque). Tant qu'on ne l'utilise que comme téléphone (appels/SMS), c'est fonctionnel, pour le reste, c'est inutilisable (nettement pire qu'un iphone 3g sous iOS 4, connu pour sa lenteur).

alegui · « **Réponse #9 le:** 09 avril 2017 à 19:01:46 »

Concernant les suites de chiffrement du site, je pencherais pour :
-Une suppression des suites 3DES
-Une suppression des suites sans confidentialité persistante (sans ECDHE ou EDH dans le nom) qui ne seraient plus utilisées
-Une suppression des suites basées sur l’algorithme Camellia qui n'est en pratique jamais utilisé
-L'ajout des suites modernes type ChaCha (pas seulement pour la sécurité, elles sont aussi plus rapides sur les plateformes sans accélération hardware de l'AES)
-La suppression du TLS 1.1 (jamais utilisé en pratique)
-Eventuellement, la suppression du TLS 1.1 si les chiffres (notamment pour Android) et IE<11) sont faibles.

Le reste me paraît sans problème particulier

EDIT : je viens de tester, sous Android 4.3 pas de soucis sous Chrome avec du TLS récent (imirhil.fr)

vivien · « **Réponse #10 le:** 10 avril 2017 à 09:07:45 »

Citation de: buddy le 09 avril 2017 à 17:49:59

As tu des statistiques des pcs sous ie10 qui viennent ici ?

A la réflexion, les utilisateurs d'Internet Explorer 10 et version précédentes devrait être assez faible : (les stats sur le serveur sont souvent pollués par des robots qui mettent le user agent IE donc c'est pas le plus fiable)

Voici les versions d'Internet Explorer en fonction des systèmes d'exploitation :

- Window XP, Windows server 2003, 2003 R2 : IE6 / IE7 / IE8
- Windws Vista et Windows server 2008 : IE7 / IE8 / IE9
- Windows 7 et Windows server 2008 R2 : IE8 / IE9 / IE10 / IE11
- Windows 8 et Windows server 2012 : IE10
- Windows 8.1 et Windows server 2012 R2 : IE11
- Windows 10 et Windows server 2016 : IE11 / Edge

Les particuliers :

- Windows XP / Vista : IE 8 n'est plus utilisable pour surfer sur Internet, les utilisateurs de Windows XP ont installé un autre navigateur qui est compatibles avec un SSL Moderne.

- Windows 7 avec Windows Update activé : Ils sont sous IE 11 => compatibles avec un SSL Moderne

- Windows 7 sans Windows Update activé : IE 8 n'est plus utilisable pour surfer sur Internet, les utilisateurs de Windows XP ont installé un autre navigateur qui est compatibles avec un SSL Moderne.

- Windows 8 avec Windows Update activé : Ces utilisateurs ont eu une mise à jour forcée vers Windows 8.1 qu'il est impossible de refuser.

- Windows 8 sans Windows Update activé : C'est IE10, mais on peut penser que ceux qui désactivent Windows Update utilisent un autre navigateur par défaut.

- Version d'essai de Windows server 2012 (pour ne pas payer de licence Windows) : C'est IE10 mais avec des contraintes de sécurité elles que la premier chose qui est faite c'est installer un autre navigateur (donc compatibles avec un SSL Moderne)

- Windows 8.1 et Windows 10 : IE11 est compatibles avec un SSL Moderne

vivien · « **Réponse #11 le:** 10 avril 2017 à 09:26:07 »

Les entreprises :

En premier, il y a de nombreuses entreprises qui fournissent un navigateurs récent à leur salariés pour l'accés à Internet : Pas de problème pour un SSL Moderne. (C'est soit un Internet Explorer récent, soit un navigateur dédié Internet comme Chrome, en plus de Internet Explorer 8 pour l'intranet)

Ensuite il existe de nombreuses entreprises qui sont bloquées sur Internet Explorer 8 pour des problématique pour leur intranet. Plusieurs cas :
- Stratégie de sécurité forte, Internet inaccessible : Accès à LaFibre.info inaccessible quel que soit la situation SSL
- Stratégie de sécurité forte avec "man in the middle" : Accès à LaFibre.info possible grâce au "man in the middle" qui va affaiblir la sécurité
- Pas de stratégie de sécurité : Dans ce cas là on peut penser que l'utilisateur a installé en plus un second navigateur pour surfer.

Bref au final, Internet Explorer 10 a beau être relativement récent, je vois peu de cas pertinent d'utilisation. Le couper ne me semble donc pas trop problématique.

Pour les version d'Android, je vais regarder dans les logs.