La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 09 avril 2017 à 16:40:43
-
La fin du support d'Internet Explorer 9 pour Windows Vista va arriver le 11 avril 2017, soit dans deux jours.
La fin du support de Firefox pour Windows Vista interviendra en septembre 2017. Chrome a déjà arrêté le support de Windows Vista depuis 1 an)
Je pense profiter de cette occasion pour améliorer le https de LaFibre.info a cette occasion, en cessant d'être lisible sur les navigateurs les plus anciens (Internet Explorer 8 sous Windows XP, Android 2.x et 3.X).
=> Quel sont vos suggestions ?
LaFibre.info est toujours Noté A+ par SSL Labs (https://lafibre.info/images/ssl/201704_Qualys_SSL_Labs_avec_3DES.png) (cf https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info )
Mais aussi noté F sur CryptCheck (https://lafibre.info/images/ssl/201704_CryptCheck_avec_3DES.png) (cf https://tls.imirhil.fr/https/lafibre.info), ce dernier test étant plus strict
Attention, imirhil se définit de lui-même comme étant un extrémiste (https://blog.imirhil.fr/2015/06/02/extremiste-fier-de-letre.html) pour TLS.
Cela influence les notes de son outil ....
Aujourd'hui la configuration SSL de LaFibre.info est la suivante :[/size]
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLUseStapling on
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/stapling_cache(150000)
Cela permet une compatibilité avec :
- Android 2.3 et supérieur
- IE 7 (Windows XP et Windows Vista) et supérieur
- Toutes les versions de Firefox, Chrome, Edge
Mozilla propose 3 configurations sur https://wiki.mozilla.org/Security/Server_Side_TLS : (cf Générateur https://mozilla.github.io/server-side-tls/ssl-config-generator/ )
- Moderne : Nécessite au minimum : Firefox 27, Chrome 30, IE 11 on Windows 7, Edge, Opera 17, Safari 9, Android 5.0, Java 8.
- Intermédiaire : Nécessite au minimum : Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7.
- Ancien : Compatible avec les vieux Windows XP IE6, Java 6,...
Aujourd'hui LaFibre.info est a peu de chose prés dans la configuration "Intermédiaire", mais le saut vers moderne laisse trop de PC sur le carreau (Android 4, Internet Explorer 10, Safari 8.
=> Je cherche a augmenter la sécurité, mais a garder la compatibilité avec Android 4.0 (donc TLS 1.0) et Internet Explorer 10 (TLS 1.0) : Quelles sont vos propositions ? Je pense qu'il est nécessaire de se séparer de 3DES.
-
Voilà ce que j'ai sur mes sites :
SSLEngine on
SSLProtocol -all +TLSv1.2
SSLCipherSuite EECDH+AES:+AES128:+AES256:+SHA
SSLCompression off
SSLOpenSSLConfCmd Curves sect571r1:secp521r1:secp384r1
SSLOptions +StrictRequire
SSLHonorCipherOrder on
SSLCompression off
Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"
#HSTS !
Header always set Strict-Transport-Security "max-age=15552001; includeSubDomains; preload"
-
Aujourd'hui LaFibre.info est a peu de chose prés dans la configuration "Intermédiaire", mais le saut vers moderne laisse trop de PC sur le carreau (Android 4, Internet Explorer 10, Safari 8.
=> Je cherche a augmenter la sécurité, mais a garder la compatibilité avec Android 4.0 (donc TLS 1.0) et Internet Explorer 10 (TLS 1.0) : Quelles sont vos propositions ? Je pense qu'il est nécessaire de se séparer de 3DES.[/size]
As tu des statistiques des pcs sous ie10 qui viennent ici ?
Idem pour safari 8 et Android 4 ?
Je pense que Android 4 est le plus répandu des 3.. Et peut être le point bloquant..
-
4.0, donc pas 4.2 et plus ? Et seulement le navigateur de base, non ?
-
As tu des statistiques des pcs sous ie10 qui viennent ici ?
On m'avais posé cette question pour IE8 :
Voici les log du mois d'aout avec Internet Explorer 8 (j'ai supprimé quelques caractères de chaque IP) : 201608_log_lafibre_navigateur_ie8.ods (https://lafibre.info/images/stats/201608_log_lafibre_navigateur_ie8.ods)
Attention, dans tes logs il y a beaucoup de IE8 sous windows 7, qui lui est compatible (tout comme IE sous windows vista) avec des suites de chiffrement plus modernes. Puis, je n'ai pas l'impression à les lire (à défaut d'écrire un script pour les compter) qu'il y a des masses de visiteurs uniques concernés ;)
Depuis début janvier, je répond avec un mauvais certificat pour les navigateurs sans SNI (Internet Explorer sous Windows XP et Android 2)
=> Il est possible d'accéder au site mais après un message bien dissuasif :
(https://lafibre.info/images/ssl/201701_ssl_windows_xp_ie8_1.png)
(https://lafibre.info/images/ssl/201701_ssl_windows_xp_ie8_2.png)
Je n'ai eu aucune plainte en près de 4 mois.
=> Je pense donc que je peut sans risque supprimer ces vieux navigateurs.
Passer a l'étape suivante et supprimer toutes les versions d'Internet Explorer sauf la version 11 me semble par contre un peu tôt.
Si tout le monde pense que c'est une bonne idée de passer à la configuration "Moderne", je le ferais, mais peu de sites à forte audience on fait ce choix.
Je rappelle que Android 4.1 est sortie en juillet 2012 et est arrivé réellement sur le marché avec des smartphones en 2013. Beaucoup n'ont pas été mis à jour (à l'époque ce n'était pas via des mises à jour over the air, mais il fallait le connecter à un PC avec une application propriétaire).
J'ai un peu de mal à coupé bon nombre de smartphones achetés en 2013 / 2014.
-
tu coupes seulement le navigateur intégré, non ?
-
Je n'ai pas de mobiles avec Android 4.0
J'ai voulu tester avec le Samsung Galaxy 551 (i5510) un mobile qui a eu peu de mise à jour, l'unique mise à jour proposé est Android 2.3.6
Il reste apprécié des jeunes, ce mobile HSDPA (3G+) et Wifi 802.11n avec un véritable clavier sur le côté (side-slider) en plus de l'écran 240x400 pixels tactile (multitouch capacitif).
LaFibre.info fonctionne bien, avec un message d'erreur du certificat, comme prévu.
Google.fr foncitonne, mais en ... http. il ne bascule pas en https
Le "Market" de Google (il ne s'appelait pas Play Store à l'époque) ne fonctionne plus en ne permet pas de télécharger une application.
-
Le courage de ces personnes à utiliser encore ca .. ^^
-
Le courage de ces personnes à utiliser encore ca .. ^^
J'ai utilisé récemment en secours un "smartphone" sous android 2.2 (l'ultra low-cost de l'époque). Tant qu'on ne l'utilise que comme téléphone (appels/SMS), c'est fonctionnel, pour le reste, c'est inutilisable (nettement pire qu'un iphone 3g sous iOS 4, connu pour sa lenteur).
-
Concernant les suites de chiffrement du site, je pencherais pour :
-Une suppression des suites 3DES
-Une suppression des suites sans confidentialité persistante (sans ECDHE ou EDH dans le nom) qui ne seraient plus utilisées
-Une suppression des suites basées sur l’algorithme Camellia qui n'est en pratique jamais utilisé
-L'ajout des suites modernes type ChaCha (pas seulement pour la sécurité, elles sont aussi plus rapides sur les plateformes sans accélération hardware de l'AES)
-La suppression du TLS 1.1 (jamais utilisé en pratique)
-Eventuellement, la suppression du TLS 1.1 si les chiffres (notamment pour Android) et IE<11) sont faibles.
Le reste me paraît sans problème particulier ;)
EDIT : je viens de tester, sous Android 4.3 pas de soucis sous Chrome avec du TLS récent (imirhil.fr)
-
As tu des statistiques des pcs sous ie10 qui viennent ici ?
A la réflexion, les utilisateurs d'Internet Explorer 10 et version précédentes devrait être assez faible : (les stats sur le serveur sont souvent pollués par des robots qui mettent le user agent IE donc c'est pas le plus fiable)
Voici les versions d'Internet Explorer en fonction des systèmes d'exploitation :
- Window XP, Windows server 2003, 2003 R2 : IE6 / IE7 / IE8
- Windws Vista et Windows server 2008 : IE7 / IE8 / IE9
- Windows 7 et Windows server 2008 R2 : IE8 / IE9 / IE10 / IE11
- Windows 8 et Windows server 2012 : IE10
- Windows 8.1 et Windows server 2012 R2 : IE11
- Windows 10 et Windows server 2016 : IE11 / Edge
Les particuliers :
- Windows XP / Vista : IE 8 n'est plus utilisable pour surfer sur Internet, les utilisateurs de Windows XP ont installé un autre navigateur qui est compatibles avec un SSL Moderne.
- Windows 7 avec Windows Update activé : Ils sont sous IE 11 => compatibles avec un SSL Moderne
- Windows 7 sans Windows Update activé : IE 8 n'est plus utilisable pour surfer sur Internet, les utilisateurs de Windows XP ont installé un autre navigateur qui est compatibles avec un SSL Moderne.
- Windows 8 avec Windows Update activé : Ces utilisateurs ont eu une mise à jour forcée vers Windows 8.1 qu'il est impossible de refuser.
- Windows 8 sans Windows Update activé : C'est IE10, mais on peut penser que ceux qui désactivent Windows Update utilisent un autre navigateur par défaut.
- Version d'essai de Windows server 2012 (pour ne pas payer de licence Windows) : C'est IE10 mais avec des contraintes de sécurité elles que la premier chose qui est faite c'est installer un autre navigateur (donc compatibles avec un SSL Moderne)
- Windows 8.1 et Windows 10 : IE11 est compatibles avec un SSL Moderne
-
Les entreprises :
En premier, il y a de nombreuses entreprises qui fournissent un navigateurs récent à leur salariés pour l'accés à Internet : Pas de problème pour un SSL Moderne. (C'est soit un Internet Explorer récent, soit un navigateur dédié Internet comme Chrome, en plus de Internet Explorer 8 pour l'intranet)
Ensuite il existe de nombreuses entreprises qui sont bloquées sur Internet Explorer 8 pour des problématique pour leur intranet. Plusieurs cas :
- Stratégie de sécurité forte, Internet inaccessible : Accès à LaFibre.info inaccessible quel que soit la situation SSL
- Stratégie de sécurité forte avec "man in the middle" : Accès à LaFibre.info possible grâce au "man in the middle" qui va affaiblir la sécurité
- Pas de stratégie de sécurité : Dans ce cas là on peut penser que l'utilisateur a installé en plus un second navigateur pour surfer.
Bref au final, Internet Explorer 10 a beau être relativement récent, je vois peu de cas pertinent d'utilisation. Le couper ne me semble donc pas trop problématique.
Pour les version d'Android, je vais regarder dans les logs.
-
Les version d'Android utilisées sur ce site :
Statistique du mois de mars 2017, en nombre de hits :
- Android 2 : 2788 ( 0,00%)
- Android 3 : 231 ( 0,00%)
- Android 4 : 192367 ( 4,36%)
- Android 5 : 328443 ( 7,45%)
- Android 6 : 3679713 (83,44%)
- Android 7 : 206655 ( 4,69%)
Total : 4410197
Comme toujours il faut regarder un peu plus en détail pour comprendre les user-agent. J'ai par exemple trouvé 15804 User agent avec le nom "Windows Phone" et "Android 4.0" : Mozilla/5.0 (Mobile; Windows Phone 8.1; Android 4.0; ARM; Trident/7.0; Touch; rv:11.0; IEMobile/11.0; Microsoft; Lumia 640 LTE; Orange) like iPhone OS 7_0_3 Mac OS X AppleWebKit/537 (KHTML, like Gecko) Mobile Safari/537
A noter qu'ils ne posent pas problème en cas de suppression de TLS 1.0 car c'est Internet Explorer 11 qui est utilisé.
Concrètement, voici le détail pour Android 4 :
Android 4.0 (TLS 1.0) : 3549 (0,08%)
Android 4.1 (TLS 1.0) : 19609 (0,44%)
Android 4.2 (TLS 1.0) : 21294 (0,48%)
Android 4.3 (TLS 1.0) : 7307 (0,17%)
Android 4.4 (TLS 1.2) : 124804 (2,83%)
Faux Android 4 (Windows Phone) :15804 (0,36%)
1,17% Des visites mobiles sont réalisés avec Android 4.0 à 4.3
Je vais donc attendre 2018 pour désactiver TLS 1.0
Note : les veilles versions de Firefox / Opéra ne sont pas comptées ici, car elles n'indiquent pas la version d'Android utilisées. Seules les nouvelles version logiciels de ces navigateur indiquent la version d'Android.
Je pense faire évoluer SSLCipherSuite pour ne garder que SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECD
Voici le bout de commande que je pense rajouter dans /etc/apache2/mods-available/ssl.conf :
#Modif optimisaiton SSL
SSLProtocol all -SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECD
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLUseStapling on
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/stapling_cache(150000)
-
Tu as oublié d'enlever le SSLv2 dans la nouvelle config ;)
Par contre, comme je sous-entendais plus tôt, pour Android, le problème ne se trouve que sur le navigateur de base, webview (et quelques autres qui se basent dessus). Pas de problème pour Chrome par exemple, et il me semble qu'il montre bien la version d'Android ; il faut donnc exclure de ces chiffres les navigateurs compatibles.
-
Et sinon HTTP/2 ? Via le PPA d'ondrej ça marche bien sous Ubuntu.
-
Tu as oublié d'enlever le SSLv2 dans la nouvelle config ;)
SSL n'est plus supporté (aussi bien v2 que v3):
openssl (1.0.2d-2) experimental; urgency=medium
* Build with no-ssl3-method to remove all SSLv3 support. This results in
the functions SSLv3_method(), SSLv3_server_method() and
SSLv3_client_method() being removed from libssl. Change the soname as
result of that and also changes name of the binary package.
(Closes: #768476)
* Enable rfc3779 and cms support (Closes: #630790)
* Fix cross compilation for mips architectures. (Closes: #782492)
-- Kurt Roeckx <kurt@roeckx.be> Sun, 06 Sep 2015 14:21:27 +0200
Et sinon HTTP/2 ? Via le PPA d'ondrej ça marche bien sous Ubuntu.
/me donne un proxy nginx à Vivien
-
Quel intéret d'utiliser un proxy alors qu'Apache marche très bien :3
-
Je serai ravi de t'expliquer le fonctionnement du protocole HTTP en parallèle de l'analyse des détails de l'implèmentation des produits sus-nommés, si cela n'était hors-sujet ..
-
Tu as oublié d'enlever le SSLv2 dans la nouvelle config ;)
Comme le dit jack, il n'est pas nécessaire de supprimer qq chose qui n'existe plus dans le code. (il est impossible de l'activer)
Par contre, comme je sous-entendais plus tôt, pour Android, le problème ne se trouve que sur le navigateur de base, webview (et quelques autres qui se basent dessus). Pas de problème pour Chrome par exemple, et il me semble qu'il montre bien la version d'Android ; il faut donnc exclure de ces chiffres les navigateurs compatibles.
Les 51759 hits pour Android 4.0 a 4.3 se répartissent en 30488 Hits pour Google chrome et 21271 pour le reste (le navigateur intégré).
-
Internet Explorer 8 sous Windows XP n'est plus supporté depuis aujourd'hui sur https://LaFibre.info
Après de nombreuses hésitations pour le durcissement du SSL, j'ai pris l'option de retirer uniquement les suites 3DES, qui ne sont plus sures.
Fin août 2016, des chercheurs en sécurité ont révélé une attaque contre des algorithmes de chiffrement utilisant des blocs de chiffrement 64 bits. Ce type d'attaque nécessite un très gros volume de trafic, cela doit alerter sur les algorithmes de chiffrement plus anciens et plus faibles qui ne doivent plus être utilisés. Concernant le protocole TLS, il implique d'éviter 3DES.
Concrètement, cela bloque Internet Explorer 8 sous Windows XP.
IE 8 sous Windows Vista ou 7 continue de fonctionner.
Voici ce que cela donne maintenant avec IE8 sous Windows XP :
(https://lafibre.info/testdebit/windowsxp/201709_windows_xp_ie8_lafibre.png)
Il y a tout juste 3 ans, je retirais SSLv3 et donc la compatibilité de Internet Explorer 6.
Internet Explorer 6 n'est plus supporté depuis aujourd'hui sur https://LaFibre.info
(https://lafibre.info/testdebit/windowsxp/201409_kill_ie6_lafibre.png)
Concrètement, j'ai supprimé le support de SSLv3 pour https.
Internet Explorer ne prend pas en charge TLSv1 par défaut (il faut cocher une case les options, je me demande bien pourquoi ce n'est pas activé par défaut)
Concrètement, cela fait comme si le site n'existait pas :
(https://lafibre.info/testdebit/windowsxp/201409_windows_xp_ie6_lafibre_sans_tls.png)
-
Techniquement voici mon SSLCipherSuite aujourd'hui :
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS
Et voici la notation SSL Labs (je conserve mon A+ et reste compatibles avec presque tous les navigateurs, sauf les plus anciens)
(https://lafibre.info/images/ssl/201709_qualys_ssllabs_lafibre.png)
-
Prochaine étape en septembre 2018 ou septembre 2019 : suppression de TLS 1.0 et TLS 1.1
(septembre, car je considère que certains utilisent de vieux navigateurs pendant les vacances de juillet / août : il est donc optimal de supprimer la compatibilité avec vieux navigateurs en septembre)
Les navigateurs qui supportent TLS 1.2 par défaut (sans aller dans la configuration pour l'activer) :
- Firefox 27 et supérieur
- Google Chrome 38 et supérieur
- Microsoft Internet Explorer 11 ou Microsoft Edge
- Safari versions 7 et supérieur (OS X 10.9 Mavericks et supérieur)
- Opera 12.18 et supérieur
- Navigateur par défaut d'Android 5.0 ou supérieur
- Mobile Safari versions 5 et supérieur (iOS 5 et supérieur)
Coté Mac, il y a des personnes sur ce forum qui ont de vieux mac et qui naviguent avec Safari 6. (exemple : Virginie)
J'ai validé avec elle : si elle bascule sur Firefox ou Chrome - tous les deux plus maintenus pour sa versoin de MAcOS X - elle aura le TLS 1.2
Coté Android, il y a des tablette Android 4 qui continuent d'utiliser le navigateur par défaut. Là aussi basculer sur Chrome résout le problème.
Coté Internet Explorer, cela donnerait :
- Internet Explorer 6.0 : Sortie le 27 août 2001 => Support retiré de LaFibre.info le 7 septembre 2014
- Internet Explorer 8.0 : Sortie le 19 mars 2009 => Support retiré de LaFibre.info le 7 septembre 2017
- Internet Explorer 10.0 : Sortie le 26 octobre 2012 => Support retiré de LaFibre.info en septembre 2018 ou septembre 2019 ?
Windows Server 2012 est le seul système d'exploitation Microsoft maintenu qui ne supporte pas IE 11 (Maintenant Windows Server ce n'est pas fait pour surfer sur Internet). Tous les autres proposent IE11 et donc TLS1.2 dans les mises à jour.
J'ai analysé les logs du forum pour voir quelles versions de Internet Explorer sont utilisées.
Voici les statistiques pour le mois mars 2017 :
- Trident/4.0 (Internet Explorer 8 ) : 16 104 hits ( 0,91% des hits réalises avec Internet Explorer)
- Trident/5.0 (Internet Explorer 9 ) : 342 495 hits (19,27% des hits réalises avec Internet Explorer)
- Trident/6.0 (Internet Explorer 10) : 25 395 hits ( 1,43% des hits réalises avec Internet Explorer)
- Trident/7.0 (Internet Explorer 11) : 1 393 451 hits (78,40% des hits réalises avec Internet Explorer)
Total pour Internet Explorer : 1 777 445 hits
On voit que la part de Internet Explorer 9 est anormalement élevée.
J'ai regardé les log : les user-agent avec Trident/5.0 sont bien ceux d'un véritable navigateur Internet Explorer 9.
J'ai regardé les requêtes : cela semble des requêtes pertinentes (pas le même objet téléchargé 300 000 fois.
Je note par contre un surf assez bien répartie dans la journée (normalement, il y a beaucoup moins de pages vues la nuit)
J'ai donc réalisé un graphe pour voir la répartition du nombre de hits par adresse IP :
(https://lafibre.info/images/stats/201704_internet_explorer_9_repartition.png)
On voit que la que 90% des requêtes sont réalisées par des tranches IP qui se suivent t qui ont chacune un volume de Hit identique.
J'ai entouré en rouge les 3 plages IP en question.
- 131.253.24.128 à 131.253.24.159
- 131.253.25.128 à 131.253.25.255
- 131.253.26.222 à 131.253.26.255
- 131.253.27.0 à 131.253.27.212
- 131.253.36.195 à 131.253.36.206
- 204.79.180.0 à 204.79.180.255
- 65.55.210.0 à 65.55.210.209
- 65.55.211.242 à 65.55.211.251
- 65.55.212.64 à 65.55.212.95
- 65.55.213.24 à 65.55.213.31
- 65.55.218.32 à 65.55.218.63
- 65.55.54.191 à 65.55.54.204
Voici la liste complète des log sur ces plages IP : 201703_log_lafibre_ie9_bingbots.ods (https://lafibre.info/images/stats/201703_log_lafibre_ie9_bingbots.ods) (Fichier LibreOffice Calc, lisible avec Microsoft Excel)
131.253.25.128 à 131.253.25.255 + 131.253.27.0 à 131.253.27.212
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b
157.55.12.64 à 157.55.12.92 + 157.55.154.194 à 157.55.154.196 + 157.55.2.129 à 157.55.2.191
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
157.55.39.0 à 157.55.39.251
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
199.30.16.160 à 199.30.16.187 + 199.30.17.50 + 199.30.24.1 à 199.30.24.255 + 199.30.25.0 à 199.30.25.255
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
207.46.13.10 à 207.46.13.255
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
40.77.160.76 + 40.77.162.31 à 40.77.162.37 + 40.77.165.155 à 40.77.165.222
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
40.77.167.0 à 40.77.167.136
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)
40.77.170.2 + 40.77.171.0 à 40.77.171.45 + 40.77.177.12 à 40.77.177.253 + 40.77.178.1 à 40.77.178.254 + 40.77.179.13 à 40.77.179.249
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
65.55.210.0 à 65.55.210.254
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b
65.55.213.24 à 65.55.213.31 + 65.55.54.191 à 65.55.54.204
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
-
Prochaine étape en septembre 2018 ou septembre 2019 : suppression de TLS 1.0 et TLS 1.1
Je supprimerais TLS 1.0 et TLS 1.1 le 1er novembre 2018.
A partir du 1er novembre 2018 il faudra donc un navigateur récent pour surfer sur LaFibre.info :
- Firefox 27 et supérieur
- Google Chrome 38 et supérieur
- Microsoft Internet Explorer 11 ou Microsoft Edge
- Safari versions 7 et supérieur (OS X 10.9 Mavericks et supérieur)
- Opera 12.18 et supérieur
- Navigateur par défaut d'Android 5.0 ou supérieur
- Mobile Safari versions 5 et supérieur (iOS 5 et supérieur)
Cette configuration est déjà en place sur https://testdebit.info/
=> Si vous arrivez a charger la page https://testdebit.info/ c'et que votre navigateur est compatible.
-
J'ai sorti mon Opera 12.18 pour l'occasion. ;D
testdebit s'affiche bien avec. 8)
Par contre, pas le test au milieu de la page: "Loading nPerf plugin..." (HTML5 je suppose). C'est le seul bémol, mais de taille pour ceux qui voulaient un speedtest classique.
-
J'ai sorti mon Opera 12.18 pour l'occasion. ;D
Je me rappelle, quand Opera avait abandonné la version 12 (pour rappel la dernière basée sur le moteur Presto), ils avaient changé quelques paramètres sur la cryptographie pour que le navigateur vieillisse (un peu) mieux ; TLS 1.2 en faisait partie. Je n'arrive pas à retrouver l'annonce officielle, alors voilà un article de NextInpact (https://www.nextinpact.com/news/98587-opera-12-18-derniere-revision-securite-et-arret-support.htm) sur le sujet.
Pour une liste plus complète, Can I Use (https://caniuse.com/#search=tls%201.2) propose une liste de compatibilité sur le sujet.
-
Tu parles de cet article du blog d'Opera? https://blogs.opera.com/security/2016/02/opera-12-and-opera-mail-security-update/
Cela parle de TLS 1.2 en effet.
-
Pour une liste plus complète, Can I Use (https://caniuse.com/#search=tls%201.2) propose une liste de compatibilité sur le sujet.
Il y a deux dates à retenir : celle où la techno est disponibles mais désactivées par défault.
Et celle qui est importante :la date où le techno est activée par défault.
J'ai l'impression que "caniuse" se focalise sur la première vu qu'il dit que TLS 1.2 est disponible depuis Chrome 30.
Il me semble qu'il est activé par défaut depuis Chrome 38.
Pour Android, j'ai souvenir que Android 4.4 supporte aussi TLS 1.2 mais qu'il n'est pas activé par défaut, d'où le fait que je demande Android 5.0 minimum.
-
Dans Chrome/Chromium, TLS 1.2 est activé par défaut peu avant la v30:
https://www.chromestatus.com/features/5197666342404096
TLS 1.2
[...]
Enabled by default
Chrome desktop
29
Chrome for Android
29
Opera desktop
16
Opera for Android
16
-
Tu parles de cet article du blog d'Opera? https://blogs.opera.com/security/2016/02/opera-12-and-opera-mail-security-update/
Oui !
Il y a deux dates à retenir : celle où la techno est disponibles mais désactivées par défault.
Et celle qui est importante :la date où le techno est activée par défault.
C'est bien indiqué sur le site (rouge avec un petit drapeau vert si présent sans être activé) pour IE 8-10, Firefox 24-26 et Opera 10-11, mais il n'y a rien pour Chrome entre 30 et 38. Ils fournissent d'ailleurs leur source (http://www.chromestatus.com/feature/5197666342404096). Petit souci, celle-ci parle de Chrome 29 mais le site parle de Chrome 30.
-
Can I use incique que TLS 1.3 est activé par défaut sur Firefox depuis Firefox 52, cf https://caniuse.com/#search=tls%201.3
J'ai un peu de mal à garder Firefox 52 pour le support de TLS 1.3 sachant que c'est un brouillon.
Dans les nouveauté de Firefox 60, on voit l'arrivée de TLS 1.3 draft 23 :
On-by-default support for draft-23 of the TLS 1.3 specification
Source : https://www.mozilla.org/en-US/firefox/60.0/releasenotes/
-
Plop, je profite de ce message pour constater que le suivi de la configuration TLS se poursuit et que la liste des ciphers doit se résumer à celle-ci:
ssl_ciphers EECDH+AESGCM:EDH+AESGCM;et tant pis pour les vieilles versions de safari.
-
Tu vois ça où ?
https://ssl-config.mozilla.org/ préconise d'autres ciphers
-
Si on veut dégager les ciphers marqués comme faibles sur ssllabs:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 4096 bits FS WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 4096 bits FS WEAK 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 4096 bits FS WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 4096 bits FS WEAK 256c'est comme cela que l'on configure ou on laisse juste TLSv1.3 actif.
Cette option sur les ciphers provient de ma propre initiative et semble être aussi active sur le site de lafibre.
-
La configuration de LaFibre.info est détaillée sur https://lafibre.info/ubuntu/apache2/msg898858/#msg898858
Je log la version de TLS utilisée et il est encore trop tôt pour abandonner TLS 1.2