La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: Sendell le 17 octobre 2018 à 23:01:58
-
Hola
Pour visualiser la compatibilité des navigateurs et leur utilisation : https://caniuse.com/#feat=tls1-2 et https://caniuse.com/#feat=tls1-3
J'ai eu la surprise de constater que ma banque me limitait à TLS1.0 pour mon espace client ; leurs recommandations (https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html) sont pourtant de le désactiver dans son navigateur ! Un coup de SSLLabs (https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr) ne rassure pas... mais je ne me vois pas vraiment aller en parler au guichet ??? que faut-il en penser ?
-
Hola
J'ai eu la surprise de constater que ma banque me limitait à TLS1.0 pour mon espace client ; leurs recommandations (https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html) sont pourtant de le désactiver dans son navigateur ! Un coup de SSLLabs (https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr) ne rassure pas... mais je ne me vois pas vraiment aller en parler au guichet ??? que faut-il en penser ?
J'étais bien innocent : https://imirhil.fr/tls/#Banques%20en%20ligne :-\
Aujourd'hui c'est pour une erreur OCSP que je ne peux plus me connecter à ma banque avec Firefox : SSLLabs rapporte (https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr) une erreur "OCSP response: Certificate unknown".
-
Le site principal de LCL est aussi inaccessible chez moi avec Firefox ESR 60.
=> https://particuliers.secure.lcl.fr
Ce sont des experts en chiffrement chez LCL !
Pas de support de TLS 1.1, ni de TLS 1.2 ou TLS 1.3.
Pourtant TLS 1.1 date de 2006 et TLS 1.2 de 2008 :
(https://lafibre.info/images/ssl/201806_firefox_61_tls13.jpg)
Voici un tweet de septembre 2015 qui leur demande de mettre en place TLS 1.2 : https://twitter.com/TLSv12/status/638960272749760513
-
Un coup de SSLLabs (https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr) ne rassure pas... mais je ne me vois pas vraiment aller en parler au guichet ??? que faut-il en penser ?
Tenter ici ?
https://particuliers.lcl.fr/assistance-portail-par/
Sinon je ne sais pas si laisser transiter des données bancaires en TLS 1.0 peut être "rapporté" à des instances de l'état comme "faute" ...
-
Cela ne fonctionne pas mieux. Sinon ce n'est pas la cause de l’impossibilité d'afficher le site sous Firefox : c'est lié à un problème sur l'OCSP Stapling. Firefox ne pouvant plus savoir si certificat a été révoqué, il bloque l’accès au site web.
Capture wireshark avec Firefox 63 sous Ubuntu 18.10 : (cliquer sur la miniature ci-dessous, Wireshark est nécessaire pour lire le fichier)
(https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/ssl/201810_capture_banque_lcl.pcapng.gz)
Ce qu'il s'affiche avec Firefox 63 :
(https://lafibre.info/images/ssl/201810_capture_banque_lcl.png)
SSL Decoder :
(https://lafibre.info/images/ssl/201810_capture_banque_lcl_ssl_decoder.png)
-
Erreur OCSP simplement déjà sur le https://www.lcl.fr/ (https://www.lcl.fr/) ...
-
Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?
Extrait du site de LCL :
Pourquoi arrêter la prise en charge de ce protocole ?
Nous procédons à la désactivation du protocole TLS 1.0 afin de :
Conserver un niveau de sécurité respectant l’état de l’art sur notre plate-forme d'hébergement.
Maintenir des normes de sécurité les plus élevées pour renforcer la protection de vos données.
A ce jour, l'Agence Nationale de la Sécurité des Système d'Information (ANSSI) recommande fortement de ne plus autoriser le protocole TLS 1.0 pour la protection et le chiffrement des flux réseau, ce protocole de chiffrement étant devenu trop faible.
Configurer son navigateur
internet Explorer
1. Dans le menu Outils, cliquez sur Options Internet.
2. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
3. Cliquez sur Appliquer, puis sur OK.
Firefox
1. Dans la barre d'adresse de Firefox, saisir about:config
2. Si une fenêtre de sécurité apparait, cliquer sur Je prends le risque
3. Ensuite rechercher security.tls.version.min et modifier la valeur à 2 pour activer TLS 1.1
4. Ensuite rechercher security.tls.version.max et modifier la valeur à 3 pour activer TLS 1.2
Chrome
1. Dans Google Chrome faire ALT + F, ensuite Paramètres
2. Descendre en bas de la fenêtre et cliquer sur Afficher les paramètres avancés ...
3. Dans la zone Réseau, cliquer sur Modifier les paramètres de proxy
4. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
5. Cliquez sur Appliquer, puis sur OK.
Source : LCL
-
LCL est un banque du Groupe Crédit agricole et d'autres banques du Groupe Crédit agricole sont touchées par le serveur ossp qui ne répond plus : https://www.ca-centrest.fr/ est lui aussi inaccessible avec Firefox.
-
LCL est un banque du Groupe Crédit agricole et d'autres banques du Groupe Crédit agricole sont touchées par le serveur ossp qui ne répond plus : https://www.ca-centrest.fr/ est lui aussi inaccessible avec Firefox.
Non moi ce site marche sous firefox (mais pas lcl)
-
Cela refonctionne maintenant pour LCL et le Crédit agricole.
Il reste que TLS 1.2 est désactivé, ce n'est pas possible pour une banque.
-
Bonjour,
Pour moi ça ne fonctionne toujours pas. Je n'ai pour le moment rien touché à ma configuration sur Firefox 62.0.3 (Ubuntu 18.04).
-
Cela ne fonctionne plus de nouveau... (pour moi aussi)
-
On dirait que le bug touche l'ensemble des caisses régionales CA...
J'ai testé les 5 premières, toutes ont l'erreur. Seul le site web principal fonctionne.
-
Ayant un peu de temps à perdre, juste pour voir j'ai imprimé qques documents, captures d'écrans, ... et suis allé à mon agence. J'ai essayé de ne pas trop attaquer la pauvre guichetière à coup de PCI-DSS3.2, mais je ne suis pas du tout arrivé à mes fins : le conseiller venu en renfort en a conclu d'un air péremptoire que le problème est dans Firefox, l'absence de TLS1.2 et leur propre conseil de désactiver autre chose n'a pas eu l'air de le heurter (la guichetière montrait sur son visage que si) ; le fait que le support de TLS1.0 disparaisse des navigateurs en 2020 "laisse encore un an" et il semblait ne plus jamais avoir entendu parler de PCI-DSS quand j'ai évoqué de la fin de TLS1.0 en juin dernier. Problème réglé, ça c'est un mec efficace !
Bon blague à part je ne m'attendais pas non plus à un miracle (il ne faudrait pas en attendre moins de leur part semble-t-il), mais juste un début de reconnaissance d'un problème de leur côté m'aurait semblé convenable.
Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?
Extrait du site de LCL :
Pourquoi arrêter la prise en charge de ce protocole ?
Nous procédons à la désactivation du protocole TLS 1.0 afin de :
Conserver un niveau de sécurité respectant l’état de l’art sur notre plate-forme d'hébergement.
Maintenir des normes de sécurité les plus élevées pour renforcer la protection de vos données.
A ce jour, l'Agence Nationale de la Sécurité des Système d'Information (ANSSI) recommande fortement de ne plus autoriser le protocole TLS 1.0 pour la protection et le chiffrement des flux réseau, ce protocole de chiffrement étant devenu trop faible.
Oui ce coup là est mon préféré, de loin ! Je vais adorer les embêter avec "mais j'ai suivi vos recommandation, pourquoi ne les respectez-pas vous-même"
-
Tout simplement consternant...
-
le fait que le support de TLS1.0 disparaisse des navigateurs en 2020 "laisse encore un an" et il semblait ne plus jamais avoir entendu parler de PCI-DSS quand j'ai évoqué de la fin de TLS1.0 en juin dernier. Problème réglé, ça c'est un mec efficace !
Bon blague à part je ne m'attendais pas non plus à un miracle (il ne faudrait pas en attendre moins de leur part semble-t-il), mais juste un début de reconnaissance d'un problème de leur côté m'aurait semblé convenable.
Je pense clairement que ce n'est pas le métier du guichetier ...
As tu essayé le lien que je t'ai donné sur la page précédente ? Il y a déjà plus de chances que ça atterrisse à quelqu'un qui s'y connait en sécurité informatique..
-
Ce n'est pas le métier du guichetier, mais son métier c'est tout de meme de prendre en compte la remontée client et faire suivre l'info à qui de droit ;)
-
Je pense clairement que ce n'est pas le métier du guichetier ...
As tu essayé le lien que je t'ai donné sur la page précédente ? Il y a déjà plus de chances que ça atterrisse à quelqu'un qui s'y connait en sécurité informatique..
Je n'allais pas en agence pour changer grand chose, juste voir si on me répondait d'essayer en désactivant mon antivirus (le grand classique des SAV de FAI) ou mieux. Bah pas mieux, c'est tout.
Je vais rédiger un truc correct basé sur leurs propres recommandations pour le formulaire d'assistance ; tant que le site ne m'était pas accessible, le formulaire d'assistance ne l'était cependant pas plus !
-
Le serveur ossp qui ne répond plus, n'a pas d'impact sur la sécurité et cela a été réparé.
Je pense qu'il faut argumenter au guichet sur le fait que tu as trouvé un problème de sécurité (c'est réel) sur leur site internet qui permet de récupérer des informations dans certains cas et demander à être contacté par un expert en sécurité.
Je pense que peu de personnes autres que les experts de sécurité sont en mesure de comprendre les risques de TLS 1.0
-
Mouais, je ne suis pas convaincu par le guichet ... Au mieux ça sera mal retransmis via un ticket interne aux "informaticiens" qui sont surement à Paris ou ailleurs.
un message avec les liens ssl labs et etc ici ( https://particuliers.lcl.fr/assistance-portail-par/) passera surement mieux ;)
-
Le problèmes de SSL Labs, c'est que la méthodologie est inchangée depuis des années.
Cela permet de comparer statistiquement l'évolution : la note A qui était rare il y a 4 ans est aujourd'hui presque donné à tous les sites.
Pour moi le non support de TLS 1.2 ne devrait pas permettre d'avoir la note C.
LCL à la note C qui n'est pas catastrophique.
Je préfère imirhil.fr et sa note F.
-
c'était un exemple ssl labs ;)
c'était juste pour dire que le message "informatique" ou twitter https://twitter.com/lcl est surement plus "rapide" / sur pour la communication que remonter l'information au guichet ..
-
Je préfère imirhil.fr et sa note F.
C'est https://cryptcheck.fr/ maintenant :)
-
d'ailleurs, maintenant, apparement, le site de la banque supporte TLS 1.1 et 1.2 .. ( https://cryptcheck.fr/https/particuliers.lcl.fr )
Une réaction rapide de la banque ou plutôt un bug qui a été corrigé cet aprem en même temps que le bug OSCP ?
Edit: j'ai confondu particuliers.secure.lcl.fr et particuliers.lcl.fr (c'est bien G "https://cryptcheck.fr/https/particuliers.secure.lcl.fr")
-
LCL est un banque du Groupe Crédit agricole et d'autres banques du Groupe Crédit agricole sont touchées par le serveur ossp qui ne répond plus : https://www.ca-centrest.fr/ est lui aussi inaccessible avec Firefox.
Pour moi (Firefox 62.0.3), ce site apparait bien en TLS 1.2 :
-
Le guichet ne donnera rien.
Vivien, je suggère ce sujet en haut de page d'accueil du forum. Seul cela pourra faire réagir.
Ce n'est pas lié à la fibre optique, mais tu l'avais fait pour https://lafibre.info/cryptographie/tls-1-0/ (https://lafibre.info/vip/une-de-lafibre-info/msg543466/#msg543466) qui n'est pas de la fibre optique non plus. ;)
NXi a déjà pointé du doigt cette situation de cette banque dans une brève (pas très visuel, mais voilà). J'invite ce forum à emboîté le pas dans la mise en avant de ce constat. :)
-
Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?
Ce serveur là est bien en TLS1.2, donc ce sont peut-être des équipes différentes.
Edit: j'ai confondu particuliers.secure.lcl.fr et particuliers.lcl.fr (c'est bien G "https://cryptcheck.fr/https/particuliers.secure.lcl.fr")
https://particuliers.lcl.fr (TLS 1.2) fait une redirection JS vers https://particuliers.secure.lcl.fr/index.html (TLS 1.0, soucis aléatoires avec l'OCSP) ::)
Le serveur qui a "secure" dans son nom de domaine est le moins sécurisé des deux ;D
-
NXi a déjà pointé du doigt cette situation de cette banque dans une brève (pas très visuel, mais voilà). J'invite ce forum à emboîté le pas dans la mise en avant de ce constat. :)
Récente? Je ne l'ai pas trouvé... Même en faisant une recherche sur leur site..
-
Le guichet ne donnera rien.
Vivien, je suggère ce sujet en haut de page d'accueil du forum. Seul cela pourra faire réagir.
Le guichet, si il transmet bien la chose pourrait faire changer des choses (soit la suppression du tutoriel qui demande de supprimer TLS 1.0 du navigateur - ce qui bloque l'accés au site, soit la mise en place de TLS 1.2 sur le site).
Le forum, je n'y crois pas.
Un article de NextINpact a par contre plus de chance de faire bouger les choses.
-
Mais nan voyons, ce qui fera bouger les choses, c'est un pirate qui les percera et volera un certain nombre de leurs clients.
Comme d'habitude voyons....
Et les décideurs et responsables qui ont laissé passé cette faute grave, seront comme d'habitude remerciés par une promotion ^^
Pourquoi donc s'alarmer, le monde tourne normalement, non ?
-
Le site de LCL est de nouveau inaccessible avec Firefox :
Une erreur est survenue pendant une connexion à particuliers.secure.lcl.fr. Le serveur OCSP n’a pas de statut pour le certificat. Code d’erreur : SEC_ERROR_OCSP_UNKNOWN_CERT
-
Faut juste mettre un tweet montage image de l'erreur et procédure indiqué avec en cc tout les pdg Télécom et CNIL.
En 1h tout est réglé.
-
Voici ce qu'on obtient sur le site du CA.
-
Merveilleux ;D
Au moins, ils ont remonté l'info et sont probablement sur le problème, un bon point !
-
Je suis client au Crédit Agricole, et j'accède sans problème à mon compte en TLS 1.2, avec Firefox 63.0.
-
C'est un peu HS mais je ne sais pas si ça vaut le coup d'ouvrir un nouveau sujet :
Orange ne supporte pas plus que TLS 1.0 pour l'envoi de mail. (J'ai trouvé ça dans les en-têtes d'un mail que j'ai reçu depuis une adresse Orange: version=TLS1 cipher=AES128-SHA bits=128/128)
Moi qui voulait supprimer le support TLS 1.0 et 1.1 de mon serveur mail...
-
J'ai reporté le pb en tant que pb de sécurité à l'équipe sécurité de LCL.
On va voir si cela bouge ou pas...
-
ça n'a toujours pas bougé ..
c'est fou quand même (surtout qu'ils recommandent eux mêmes de désactiver TLS 1.0 ..)
-
Il me semble qu'ils ont supprimés la page suivante :
Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?
Extrait du site de LCL :
Pourquoi arrêter la prise en charge de ce protocole ?
Nous procédons à la désactivation du protocole TLS 1.0 afin de :
Conserver un niveau de sécurité respectant l’état de l’art sur notre plate-forme d'hébergement.
Maintenir des normes de sécurité les plus élevées pour renforcer la protection de vos données.
A ce jour, l'Agence Nationale de la Sécurité des Système d'Information (ANSSI) recommande fortement de ne plus autoriser le protocole TLS 1.0 pour la protection et le chiffrement des flux réseau, ce protocole de chiffrement étant devenu trop faible.
Configurer son navigateur
internet Explorer
1. Dans le menu Outils, cliquez sur Options Internet.
2. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
3. Cliquez sur Appliquer, puis sur OK.
Firefox
1. Dans la barre d'adresse de Firefox, saisir about:config
2. Si une fenêtre de sécurité apparait, cliquer sur Je prends le risque
3. Ensuite rechercher security.tls.version.min et modifier la valeur à 2 pour activer TLS 1.1
4. Ensuite rechercher security.tls.version.max et modifier la valeur à 3 pour activer TLS 1.2
Chrome
1. Dans Google Chrome faire ALT + F, ensuite Paramètres
2. Descendre en bas de la fenêtre et cliquer sur Afficher les paramètres avancés ...
3. Dans la zone Réseau, cliquer sur Modifier les paramètres de proxy
4. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
5. Cliquez sur Appliquer, puis sur OK.
Source : LCL
Leur site particuliers.secure.lcl.fr reste accessible uniquement en TLS 1.0
-
La seule page sur la sécurité fait machine arrière : il ne faut plus désactiver SSL 2.0 / SSL 3.0 / TLS 1.0 mais il est expliqué :
Pour accéder à notre serveur sécurisé et assurer un fonctionnement optimal du service, vous devez donc utiliser [...] le protocole SSL 128 bits, soit, par exemple, au minimum Internet Explorer version 5.5 et plus.
Source : https://telecharger-releves.secure.lcl.fr/LCLP/aide/securite.html
(https://lafibre.info/images/ssl/201812_lcl_securite.png)
J'ai fais un petit tweet (https://twitter.com/lafibreinfo/status/1076138007571451906) (en rajoutant l'ANSSI), on va voir si ils confirment ce que dit leur site...
Moi je ne vais prendre aucun risque si je passe chez eux : je vais virtualiser Internet Explorer 5.5 (date de sorite : 8 juillet 2000) sur Windows 95 pour être sur d'être en totale sécurité.
-
J'ai lu sur le site de l'assureur Groupe SMABTP que le "protocole SSL 128 bits, le plus puissant autorisé en France à ce jour."
(https://lafibre.info/images/ssl/201812_groupe-sma_securite.png)
J'aime bien le passage pour les Mac :
Si vous avez un Macintosh : Internet Explorer, à partir de sa version 5, est compatible au SSL 128 bits.
Attention : il existe une spécificité propre à Internet Explorer concernant le certificat SSL. Pour le SSL 128 bits, le certificat version 2 est insuffisant. Il faut vous assurer que la version 3 est bien installée. Pour vérifier que cette version est bien installée, allez dans la barre de menu de votre navigateur et ciquez sur "outils". Dans le menu déroulant, allez dans "options internet". Une fois la boîte de dialogue ouverte, cliquez sur l'onglet "avancé". Vous devez alors voir l'écran suivant s'afficher :
verif certif v3
Vous devrez cocher la case "SSL 3.0" si celle-ci n'est pas cochée.
Et un nouveau petit tweet innocent : https://twitter.com/lafibreinfo/status/1076144635595104256
J'aimerais trop avoir une réponse. Quel que soit la réponse, ce sera pop corn.
-
La situation est d'autant plus troublante que les autres sous-domaines du LCL, utilisés notamment pour les assets type CSS ont une configuration relativement à l'état de l'art (cf. screenshot)
-
Oui, il n'y a rien qui fonctionnerais avec le navigateur proposé par la page qui évoque la sécurité (Internet Explorer version 5.5)
-
La seule page sur la sécurité fait machine arrière : il ne faut plus désactiver SSL 2.0 / SSL 3.0 / TLS 1.0 mais il est expliqué :
Pour accéder à notre serveur sécurisé et assurer un fonctionnement optimal du service, vous devez donc utiliser [...] le protocole SSL 128 bits, soit, par exemple, au minimum Internet Explorer version 5.5 et plus.
Source : https://telecharger-releves.secure.lcl.fr/LCLP/aide/securite.html
(https://lafibre.info/images/ssl/201812_lcl_securite.png)
J'ai fais un petit tweet (https://twitter.com/lafibreinfo/status/1076138007571451906) (en rajoutant l'ANSSI), on va voir si ils confirment ce que dit leur site...
Moi je ne vais prendre aucun risque si je passe chez eux : je vais virtualiser Internet Explorer 5.5 (date de sorite : 8 juillet 2000) sur Windows 95 pour être sur d'être en totale sécurité.
Windows 2000 est livré avec IE 5 :
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_01.png)
Je me lance donc dans une mise à jour IE 5.5
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_02.png) (https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_03.png) (https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_04.png)
Mais Internet Explorer 5.5 n'est pas suffisant pour avoir le chiffrement 128 bits :
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_05.png) (https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_06.png)
En fait LCL à oublié d'indiquer qu'il faut installer le service pack 4 de Windows 2000 pour avoir un chiffrement 128bits :
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_07.png) (https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_08.png)
Alors là je suis étonné, le site LCL ne fonctionne pas alors que j'utilise le navigateur recommandé avec le chiffrement recommandé SSL 128bits
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_09.png)
Ce n'est pas un pb DNS, vu que la redirection http => https fonctionne bien.
On a même le droit à un avertissement : Attention, vous rentrez sur un site chiffré, l'heure est grave !
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_10.png)
(https://lafibre.info/testdebit/windows2000/201901_windows2000_ie5_11.png)
-
Et dire que maintenant on commence à mettre en arrière paln (comme dans chrome) le fait que un site est en https. ::) D’ailleurs pourquoi à l'époque ils ont déployé autant de notification pour dire "attention, ce site est https!"?
-
Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)
=> Google Chrome 72 supprime HPKP et déprécie TLS 1.0 et TLS 1.1
-
Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)
=> Google Chrome 72 supprime HPKP et déprécie TLS 1.0 et TLS 1.1
Le "problème" est que Google n'affiche pas encore de message d'erreur bien visible pour tous (j'ai essayé, un utilisateur lambda ne verra rien), donc ça ne forcera pas lcl à mettre à jour leur site ...
C'est début 2020 quand Chrome et Firefox vont complètement supprimer TLS 1.0 et 1.1 que ça va leur faire drôle ..
-
Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)
J'suis étonné (étant client de cette banque), pour moi il affiche bien TLS 1.2 ....
-
Chez moi aussi, j'ai du tls 1.2 sur https://particuliers.secure.lcl.fr avec Firefox
Pourtant les différents outils d'analyse ne voient pas le TLS 1.2 :
- https://tls.imirhil.fr/https/particuliers.secure.lcl.fr
- https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr
(J'ai vidé le cache)
-
Chez moi ça reste en TLS 1.0 sous firefox 65.0 64 Bits...
Si je désactive TLS 1.0 j'ai un message d'erreur
Une erreur est survenue pendant une connexion à particuliers.secure.lcl.fr. Le pair utilise une version non gérée du protocole de sécurité. Code d’erreur : SSL_ERROR_UNSUPPORTED_VERSION
ça fonctionne toujours chez vous si vous désactiver TLS 1.0 dans la config de firefox ? https://www.ssl.com/how-to/turn-off-ssl-3-0-and-tls-1-0-in-your-browser/#FF
-
Moi aussi j'ai uniquement droit au TLSv1 (sous Firefox 65.0) :
-
Chez moi aussi, j'ai du tls 1.2 sur https://particuliers.secure.lcl.fr avec Firefox
Pourtant les différents outils d'analyse ne voient pas le TLS 1.2 :
- https://tls.imirhil.fr/https/particuliers.secure.lcl.fr
- https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr
(J'ai vidé le cache)
Étrange tout ça. Le TTL de particuliers.secure.lcl.fr est à 10min, sommes-nous sûrs de tous nous connecter au même serveur ? (le mien a pour IP 158.191.169.222)
Sinon, via openssl :
paul@paul-TERRA-MOBILE-1542:~$ openssl s_client -connect particuliers.secure.lcl.fr:443 -tls1_2
CONNECTED(00000005)
140304432968768:error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol:../ssl/statem/statem_lib.c:1907:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 236 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1549212586
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Alors que :
paul@paul-TERRA-MOBILE-1542:~$ openssl s_client -connect particuliers.secure.lcl.fr:443 -tls1
CONNECTED(00000005)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
2 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
3 s:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
issuer=C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: MD5-SHA1
Peer signature type: RSA
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 6779 bytes and written 337 bytes
Verification: OK
---
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 5D8624C8A732E854D08CEB1F04D7046F33090270A9E8F615A383EF70095869F1
Session-ID-ctx:
Master-Key: F12BE82024B9032F3B00DE2B2DA1346928F4004E0DF5F892F206711FF790EBE34C0072750B094EE727E2D26E6E315ABF
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket:
0000 - 82 cc c5 11 f0 3b 93 eb-ea 33 1b b2 03 c6 09 22 .....;...3....."
0010 - 4d 79 5c 6c de 3d db 8f-ef 3c 8b 5e 57 55 b4 85 My\l.=...<.^WU..
0020 - 7d bd 02 70 cd 75 4b ee-3a ca 68 c5 ab a6 c6 85 }..p.uK.:.h.....
0030 - 58 c3 2c 60 1f 2e d4 ad-0e 27 9d c3 fd c8 f3 dd X.,`.....'......
0040 - 55 06 e4 de ad 0f a2 15-1d da 05 0c 8d 66 ad 44 U............f.D
0050 - eb 2d da 39 8f 8d 93 ed-b8 9b bf e6 f9 de e5 60 .-.9...........`
0060 - 53 fd 74 5e 85 d5 e6 6b-86 a8 e2 81 75 12 17 6a S.t^...k....u..j
0070 - 09 dd a7 4f ae 61 fe ca-0c 62 c8 26 0f f0 cb 97 ...O.a...b.&....
0080 - 5b d5 95 fb 44 d4 59 51-dd e7 da d3 1e 4e 7f 1c [...D.YQ.....N..
0090 - 0d 26 78 35 9a 8c c1 5b-ef dc 5f c3 df 3c 9b b6 .&x5...[.._..<..
00a0 - 1c ed be eb 5f 49 5d 94-97 00 95 cb 3c 11 18 7d ...._I].....<..}
00b0 - 48 17 1f a0 83 06 5e 3a-25 db c9 94 59 f4 5c a0 H.....^:%...Y.\.
00c0 - 01 92 27 99 00 c7 eb ab-40 86 45 3c bf b0 62 d8 ..'.....@.E<..b.
00d0 - c3 64 19 a6 06 5a b7 08-af a4 65 e0 59 5b fa a0 .d...Z....e.Y[..
Start Time: 1549212565
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
-
Avec OpenSSL 1.1.1 c'est bon en TLS 1.2 avec l'IP 158.191.169.222 (pas d'IPv6 et une seule IPv4 dans le DNS)
$ openssl version
OpenSSL 1.1.1 11 Sep 2018
$ openssl s_client -connect 158.191.169.222:443 -tls1_2
CONNECTED(00000005)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
2 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
3 s:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
issuer=C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: SHA512
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 6571 bytes and written 344 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: E637B6698B8CEC120FDB824BC68972A83278AABFCF8E995251B470D261E9F8D2
Session-ID-ctx:
Master-Key: 5488CC26FA0508AE6299685431752F46D6587FD5EDB17A32CF9853703B4192E6F578BA8EE70D3638A8AB81FD6BC0ADEB
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 9a 8e b5 0b 8f 3f b8 70-4d ed 90 52 56 e6 9a 36 .....?.pM..RV..6
0010 - d0 3b 78 6c 7e 8d b3 38-57 a1 ef 90 69 56 67 8e .;xl~..8W...iVg.
0020 - e3 b3 ba f4 8d ef ca 25-7d 1c 73 93 80 92 02 6d .......%}.s....m
0030 - 12 da 76 25 c2 9f 9c ae-a3 73 9f 28 9e 63 3d 97 ..v%.....s.(.c=.
0040 - e7 21 5f b2 81 be e2 83-96 1d a7 96 f6 21 8f 31 .!_..........!.1
0050 - 17 53 50 96 e4 1f 9c 8a-98 ec bd 5d 43 6c 7f 17 .SP........]Cl..
0060 - 58 06 f6 3d 18 fc f9 b6-bf dd 23 10 b3 b2 2b 42 X..=......#...+B
0070 - 68 f5 f1 5b d7 f0 45 3d-47 55 af f3 47 70 36 78 h..[..E=GU..Gp6x
0080 - b9 d0 e6 09 5c a6 f1 eb-fa dd 72 ca 8e 3e fb 70 ....\.....r..>.p
0090 - ee 8b fd ea 8f 44 d8 cb-c1 41 0d b9 ac bf 46 1e .....D...A....F.
00a0 - 3a bf aa e2 1f 45 c8 f6-7c 3d 12 77 1c aa e2 c4 :....E..|=.w....
00b0 - 03 74 90 ba 09 32 0b 41-0d 3e 49 2f e6 cd af 9e .t...2.A.>I/....
00c0 - 48 10 9c 69 4f b1 90 91-a4 ee 0a df ef 7f c7 3d H..iO..........=
Start Time: 1549213355
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Cela marche aussi avec le nom de domaine...
Si je force TLS 1.3 là cela ne marche pas :
$ openssl s_client -connect 158.191.169.222:443 -tls1_3
CONNECTED(00000005)
140127430669376:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1528:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 239 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
Note : j'utilise Ubuntu 18.10
Je viens de tester avec Ubuntu 16.04 (avec OpenSSL 1.0.2g 1 Mar 2016), c'est aussi ok pour TLS 1.2.
-
Testé sous kubuntu 18.10, avec OpenSSL 1.1.1 11 Sep 2018, sur mon PC (à Montréal).
paul@paul-TERRA-MOBILE-1542:~$ cat /etc/os-release
NAME="Ubuntu"
VERSION="18.10 (Cosmic Cuttlefish)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.10"
VERSION_ID="18.10"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=cosmic
UBUNTU_CODENAME=cosmic
paul@paul-TERRA-MOBILE-1542:~$ openssl version
OpenSSL 1.1.1 11 Sep 2018
paul@paul-TERRA-MOBILE-1542:~$ openssl s_client -connect particuliers.secure.lcl.fr:443 -tls1_2
CONNECTED(00000005)
140200384615488:error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol:../ssl/statem/statem_lib.c:1907:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 236 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1549214474
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Sur mon serveur sous Debian 9, avec OpenSSL 1.1.1a 20 Nov 2018 (en France, chez moi):
paul@host1:~$ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 9 (stretch)"
NAME="Debian GNU/Linux"
VERSION_ID="9"
VERSION="9 (stretch)"
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
paul@host1:~$ openssl version
OpenSSL 1.1.1a 20 Nov 2018
paul@host1:~$ openssl s_client -connect particuliers.secure.lcl.fr:443 -tls1_2
CONNECTED(00000003)
139926593349184:error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol:../ssl/statem/statem_lib.c:1940:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 236 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1549214621
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Je comprends pas...
-
Nmap avec le script ssl-enum-ciphers (https://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html) liste bien TLS 1.2 comme supporté, avec la bonne adresse IP :
nmap --script ssl-enum-ciphers -p 443 particuliers.secure.lcl.fr
Starting Nmap 7.60 ( https://nmap.org ) at 2019-02-03 19:11 CET
Nmap scan report for particuliers.secure.lcl.fr (158.191.169.222)
Host is up (0.012s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
|_ least strength: C
Nmap done: 1 IP address (1 host up) scanned in 5.10 seconds
Et je me connecte bien en TLS 1.2 avec OpenSSL 1.1.1, même sans le flag -tls1_2
-
Toujours pareil pour moi :
paul@paul-TERRA-MOBILE-1542:~$ nmap --script ssl-enum-ciphers -p 443 particuliers.secure.lcl.fr
Starting Nmap 7.60 ( https://nmap.org ) at 2019-02-03 13:40 EST
Nmap scan report for particuliers.secure.lcl.fr (158.191.169.222)
Host is up (0.11s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 1024) - D
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Key exchange (dh 1024) of lower strength than certificate key
|_ least strength: D
Nmap done: 1 IP address (1 host up) scanned in 6.88 seconds
C'est pareil, que je passe par le nom de domaine ou par l'adresse IP. Et pour OpenSSL sans -tls1_2, c'est toujours pareil :
paul@paul-TERRA-MOBILE-1542:~$ openssl s_client -connect particuliers.secure.lcl.fr:443
CONNECTED(00000005)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
2 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
3 s:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
issuer=C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: MD5-SHA1
Peer signature type: RSA
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 6779 bytes and written 526 bytes
Verification: OK
---
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: FD44E9F698E559E79861CF3DE36273CCC2B208CD4D1C972E90B5BDE48AD287C5
Session-ID-ctx:
Master-Key: 7274EF0766B6E806B09F0C075BEB7F10F0686095FEB1FD326A0AB78C7E41A1265962FD005FC75FFA685ADB388E4C69C4
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket:
0000 - 82 cc c5 11 f0 3b 93 eb-ea 33 1b b2 03 c6 09 22 .....;...3....."
0010 - f8 cb 31 24 8f f2 46 01-7d e5 8a 93 69 fe 36 76 ..1$..F.}...i.6v
0020 - de 6d ba c6 a2 95 8a f1-19 21 09 9d 93 67 19 58 .m.......!...g.X
0030 - 07 45 81 3b 7a a1 ad 32-fc e3 ee 01 53 cc 7c 89 .E.;z..2....S.|.
0040 - 30 78 0c 1e 5b 02 25 5e-e6 c5 45 dd 32 fc 96 4f 0x..[.%^..E.2..O
0050 - b7 f0 f0 2c 14 96 d3 07-9e ef a5 3f 8f 31 3d 77 ...,.......?.1=w
0060 - a1 58 e1 ea b3 af 3a 5f-bf c5 3c 28 61 6e ec 5b .X....:_..<(an.[
0070 - fe c9 4f 89 4b 1e 3c 65-15 de aa da 5a 8f d1 d3 ..O.K.<e....Z...
0080 - 86 09 e8 ec e9 93 21 9e-96 83 72 c8 31 da 8b ba ......!...r.1...
0090 - e2 8c 8f 2a 32 9f 63 52-8c 76 ec 97 4f 2c 72 2e ...*2.cR.v..O,r.
00a0 - af 6a ed eb 1c 08 95 66-5d 20 ec d2 4c 41 61 5b .j.....f] ..LAa[
00b0 - 88 6d e2 6d 89 be eb 89-f6 ee f0 bc ee 2d 33 f2 .m.m.........-3.
00c0 - e7 f0 bb ac c0 96 0d d4-7d 98 5c f7 85 90 35 cb ........}.\...5.
00d0 - 80 63 25 96 d2 79 c0 ed-79 c5 91 a7 7f b3 1f 11 .c%..y..y.......
Start Time: 1549219459
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Et pourquoi on voit ça :
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Alors que :
SSL-Session:
Protocol : TLSv1
-
Idem sur Windows sur le même PC (j'ai un dual boot), je n'ai que TLS 1.0 de disponible (testé avec Firefox 65.0 et Chrome 72.0.3626.81).
-
FAI Orange : TLS 1.0
$ lsb_release -d
Description: Ubuntu 18.04.1 LTS
$ openssl version
OpenSSL 1.1.0g 2 Nov 2017
$ openssl s_client -connect 158.191.169.222:443 -tls1_2
CONNECTED(00000003)
139974363558336:error:1417118C:SSL routines:tls_process_server_hello:version too low:../ssl/statem/statem_clnt.c:917:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 183 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1549220613
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
FAI Bouygues Telecom : TLS 1.2
$ lsb_release -d
Description: Ubuntu 18.04.1 LTS
vgu@ubuntu:~$ openssl version
OpenSSL 1.1.0g 2 Nov 2017
vgu@ubuntu:~$ openssl s_client -connect 158.191.169.222:443 -tls1_2
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:/serialNumber=954 509 741 00011/jurisdictionC=FR/businessCategory=Private Organization/C=FR/postalCode=69002/ST=RHONE/L=LYON/street=18 RUE DE LA REPUBLIQUE/O=CREDIT LYONNAIS SA/OU=PRT/SQ/OU=COMODO EV SSL/CN=particuliers.secure.lcl.fr
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
[...]
SFR et d'autres FAI sont en TLS 1.2
Donc je pense qu'il y a deux serveurs distincts qui répondent à la même IP, en fonction de la provenance des paquets.
-
Chez Free avec un Ubuntu 18.10
openssl s_client -connect 158.191.169.222:443 -tls1_2
CONNECTED(00000005)
140668014806080:error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol:../ssl/statem/statem_lib.c:1907:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 58 bytes and written 225 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1549221974
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Sur Chrome pareil, TLS 1.0 uniquement
-
Ben, je suis chez Orange :
root@Freeze:[~] > tcptraceroute 158.191.169.222 80
Selected device enp0s3, address 192.168.0.12, port 57695 for outgoing packets
Tracing the path to 158.191.169.222 on TCP port 80 (http), 30 hops max
1 192.168.0.1 0.932 ms 0.793 ms 0.644 ms
2 80.10.xxx.xxx 2.595 ms 1.857 ms 1.705 ms
3 ae108-0.nclyo201.Lyon3eArrondissement.francetelecom.net (193.253.87.194) 6.547 ms 1.737 ms 2.044 ms
4 ae42-0.nrlyo201.Lyon3eArrondissement.francetelecom.net (193.252.101.234) 2.517 ms 2.768 ms 1.432 ms
5 ae42-0.nridf101.Paris3eArrondissement.francetelecom.net (193.252.101.214) 7.962 ms 8.426 ms 7.741 ms
6 ae42-0.ncidf103.Puteaux.francetelecom.net (193.252.98.93) 8.507 ms 7.726 ms 7.865 ms
7 lag-1.nmidf105.Puteaux.francetelecom.net (193.249.212.1) 7.684 ms 8.199 ms 7.938 ms
8 193.252.137.222 7.644 ms 8.271 ms 8.174 ms
9 * * *
10 * * *
11 90.81.45.254 10.664 ms 10.503 ms 9.340 ms
12 37-93.83-90.static-ip.oleane.fr (90.83.93.37) 19.045 ms 57.126 ms 14.731 ms
13 * * *
14 158.191.172.3 10.288 ms 10.006 ms 9.805 ms
15 158.191.169.222 [open] 10.070 ms * 10.173 ms
moon@Freeze:[~] > openssl version
OpenSSL 1.1.1a 20 Nov 2018
Et pourtant :
moon@Freeze:[~] > openssl s_client -connect 158.191.169.222:443 -tls1_2
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
2 s:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
3 s:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHHDCCBgSgAwIBAgIQQwOJqE+tJcNG8HB2h9CJdDANBgkqhkiG9w0BAQsFADCB
kjELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxODA2BgNV
BAMTL0NPTU9ETyBSU0EgRXh0ZW5kZWQgVmFsaWRhdGlvbiBTZWN1cmUgU2VydmVy
-
Nmap avec le script ssl-enum-ciphers (https://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html) liste bien TLS 1.2 comme supporté, avec la bonne adresse IP :
Et je me connecte bien en TLS 1.2 avec OpenSSL 1.1.1, même sans le flag -tls1_2
Merci pour le truc avec nmap, je ne connaissais pas. Cela marche aussi sous windows. Donc chez Free, comme vu avant, je n'ai aussi avec cette méthode que TLS 1.0
> nmap --script ssl-enum-ciphers -p 443 particuliers.secure.lcl.fr
Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-03 20:47 Paris, Madrid
Nmap scan report for particuliers.secure.lcl.fr (158.191.169.222)
Host is up (0.0041s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 1024) - D
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Key exchange (dh 1024) of lower strength than certificate key
|_ least strength: D
Nmap done: 1 IP address (1 host up) scanned in 11.49 seconds
-
A la demande d'Aeris, voici le certificat complet.
Pour Bouygues Telecom (TLS 1.2) :
$ openssl s_client -connect 158.191.169.222:443 -servername particuliers.secure.lcl.fr
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:/serialNumber=954 509 741 00011/jurisdictionC=FR/businessCategory=Private Organization/C=FR/postalCode=69002/ST=RHONE/L=LYON/street=18 RUE DE LA REPUBLIQUE/O=CREDIT LYONNAIS SA/OU=PRT/SQ/OU=COMODO EV SSL/CN=particuliers.secure.lcl.fr
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/serialNumber=954 509 741 00011/jurisdictionC=FR/businessCategory=Private Organization/C=FR/postalCode=69002/ST=RHONE/L=LYON/street=18 RUE DE LA REPUBLIQUE/O=CREDIT LYONNAIS SA/OU=PRT/SQ/OU=COMODO EV SSL/CN=particuliers.secure.lcl.fr
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 6591 bytes and written 337 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 6A85EE1FAA303A611520DB06C784171387F6186BB894CCD147259E36BB856990
Session-ID-ctx:
Master-Key: 586F9D1A00BB425C31484C19CBAA0A3FCF502144D484EBF8BAB8F0F71C38DB0592323D47B7021F237AE7432AFE0D8796
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 9a 8e b5 0b 8f 3f b8 70-4d ed 90 52 56 e6 9a 36 .....?.pM..RV..6
0010 - 4a 62 13 0b 0a d5 44 bf-6f c7 ea 25 01 15 4a dd Jb....D.o..%..J.
0020 - 41 f9 4b 01 53 69 9a 8f-a2 49 87 d4 5d a9 cc af A.K.Si...I..]...
0030 - 56 df 57 1d b2 b0 c1 d8-10 6d f6 46 e1 f0 67 64 V.W......m.F..gd
0040 - 83 5a d3 d3 40 b2 c4 53-9e 8c 78 a3 66 c3 61 05 .Z..@..S..x.f.a.
0050 - 1e 95 8b e5 12 7f 7f 29-88 95 ef f4 c6 19 e8 da .......)........
0060 - 37 e2 60 ec ef 86 14 a7-68 da 60 32 40 51 d8 31 7.`.....h.`2@Q.1
0070 - 1a d3 aa 3e 6e 04 b5 73-50 7f 48 1c f7 57 79 ad ...>n..sP.H..Wy.
0080 - 85 e3 1a 90 26 14 e2 28-dd 38 cc d0 31 82 db e2 ....&..(.8..1...
0090 - d6 45 bf a8 2b 20 cd 31-8b 53 03 0c 2a 88 d9 ef .E..+ .1.S..*...
00a0 - 69 8a 31 13 1a 97 ad ab-8a 2a 7c 41 22 98 e0 b6 i.1......*|A"...
00b0 - f2 87 c8 67 f1 af 19 81-3f e1 6d 17 af 53 b1 ac ...g....?.m..S..
00c0 - 30 0e c1 c9 b7 3b e4 cb-fd c9 08 ac 0e b2 c6 4e 0....;.........N
00d0 - 01 ec d9 bb 34 ba 63 27-bb 5f a8 9a b2 0e 5e 01 ....4.c'._....^.
Start Time: 1549223906
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
Orange (TLS 1.0) :
$ openssl s_client -connect 158.191.169.222:443 -servername particuliers.secure.lcl.fr
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 954 509 741 00011, jurisdictionC = FR, businessCategory = Private Organization, C = FR, postalCode = 69002, ST = RHONE, L = LYON, street = 18 RUE DE LA REPUBLIQUE, O = CREDIT LYONNAIS SA, OU = PRT/SQ, OU = COMODO EV SSL, CN = particuliers.secure.lcl.fr
verify return:1
---
Certificate chain
0 s:/serialNumber=954 509 741 00011/jurisdictionC=FR/businessCategory=Private Organization/C=FR/postalCode=69002/ST=RHONE/L=LYON/street=18 RUE DE LA REPUBLIQUE/O=CREDIT LYONNAIS SA/OU=PRT/SQ/OU=COMODO EV SSL/CN=particuliers.secure.lcl.fr
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/serialNumber=954 509 741 00011/jurisdictionC=FR/businessCategory=Private Organization/C=FR/postalCode=69002/ST=RHONE/L=LYON/street=18 RUE DE LA REPUBLIQUE/O=CREDIT LYONNAIS SA/OU=PRT/SQ/OU=COMODO EV SSL/CN=particuliers.secure.lcl.fr
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
---
No client certificate CA names sent
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 6779 bytes and written 409 bytes
Verification: OK
---
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 064159E41F573B01A5FC4F89DB7423062155A76FFE5FA9BF0FF443A24ACA5965
Session-ID-ctx:
Master-Key: B10D41B49F44EC88CEE832F678169BE2CA29FE6394CE9E5AD2D0504772C6E17C862CA179A6C51BFFB291E4267FE733E9
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket:
0000 - d4 cb 6e 21 a7 9f 20 7b-f0 6c ae 59 af ae cc 9e ..n!.. {.l.Y....
0010 - ad 1c 88 0b 45 a6 6f c9-81 d9 19 d7 a3 15 43 e1 ....E.o.......C.
0020 - 55 65 89 f7 5d 99 d8 24-9f e0 55 22 d4 7d 99 7d Ue..]..$..U".}.}
0030 - 2b 9a 2d 00 06 de f5 dc-3c cd 1e c3 18 89 0b 30 +.-.....<......0
0040 - 06 20 5e bb c6 ba 80 d2-01 40 78 0d 9d 86 40 56 . ^......@x...@V
0050 - fe 83 c4 8b 3e f6 72 aa-05 a0 8c 9f 53 ce 87 3f ....>.r.....S..?
0060 - a3 e5 12 65 12 bc 33 cc-e5 45 90 f1 d8 2e bb 64 ...e..3..E.....d
0070 - b6 d3 29 7b 9b 6a 06 be-af 77 50 49 d9 83 c8 42 ..){.j...wPI...B
0080 - 41 86 4f 12 01 aa 1a 00-15 65 8d c2 2e 27 92 e1 A.O......e...'..
0090 - 0a 6c b1 88 16 47 88 d0-cc f1 59 c3 0b 40 aa d0 .l...G....Y..@..
00a0 - 91 3b f5 f5 ad 58 5e f1-ac fe 0e 12 d0 7c fb 19 .;...X^......|..
00b0 - eb 98 b1 ee fb 95 c0 5e-d2 a2 31 2d 5d 79 63 81 .......^..1-]yc.
00c0 - 44 30 b9 0a a8 80 84 60-0a e6 8d 73 90 cd 0f 04 D0.....`...s....
00d0 - 0e 66 b4 2f 74 2d 4f 1d-db 31 c9 f5 d5 37 4c f9 .f./t-O..1...7L.
Start Time: 1549224249
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
-
Vivien, je ne sais pas si l'on peut parler du FAI comme critère différenciant.
Chez Bouygues FttH je n'ai que tu TLS 1.0 par exemple..
-
Depuis OVH :
Starting Nmap 6.47 ( http://nmap.org ) at 2019-02-03 22:00 CET
Nmap scan report for particuliers.secure.lcl.fr (158.191.169.222)
Host is up (0.0078s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_RC4_128_SHA - strong
| compressors:
| NULL
|_ least strength: strong
Depuis Online :
nmap --script ssl-enum-ciphers -p 443 particuliers.secure.lcl.fr
Starting Nmap 7.60 ( https://nmap.org ) at 2019-02-03 22:00 CET
Nmap scan report for particuliers.secure.lcl.fr (158.191.169.222)
Host is up (0.0090s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
|_ least strength: C
Nmap done: 1 IP address (1 host up) scanned in 2.12 secondsEt en PJ la vue par SSLLabs (TLS1.0)
Cela ressemble à du load-balancing L3/L4 en fonction de l'IP source (mais sans déchiffrement SSL) avec un serveur mal configuré dans le pool.
-
amusant, donc, je me pose la question, et mes banques ??
La poste:
https://ssldecoder.org/results/saved.csr.1549237800.5c55c28da2a08def3b8ce93c8f38fede.html
B rating sur openssl-labs !!!
BNP:
https://ssldecoder.org/results/saved.csr.1549238584.7005111af7907d8369c9433613d4d15e.html
A+
-
J'ai fait une petite modération sur les 3 messages qui ont suivit.
(les 3 messages sont sans aucun lien avec TLS)
-
Pour ma part rien n'a bougé. Depuis ma ligne Orange j'ai droit au TLS 1.0, et depuis Montréal j'ai droit au TLS 1.2.
Ça va être sympa quand les navigateurs ne supporteront plus TLS 1.0. Il n'y a plus qu'à attendre mars 2020 :)