Auteur Sujet: Quelques bonnes pratiques pour HTTPS avec Apache2  (Lu 5968 fois)

0 Membres et 1 Invité sur ce sujet

Artheriom

  • Client Orange adsl
  • *
  • Messages: 24
  • Clermont-Fd (63)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #12 le: 07 juin 2016 à 13:41:39 »
Plop,

Sans vouloir dire de bêtises, je crois que sur Android, c'est l'OS qui gère directement les certificats, et pas les navigateurs : Paramètres -> Sécurité -> Certificats de confiance. Je crois que c'est ceux là qui sont utilisé par toutes les applications, navigateurs inclus. A vérifier cependant, je suis loin d'être un expert sur Android.  ;D

Citer
De toute façon, supprimer TLS 1.0, ce n'est pas le plus urgent, le plus important c'est de supprimer 3DES et donc IE8 sous XP...  >:(
C'est clair, mais il faudrait encore que les rares particuliers et surtout les DSI comprennent qu'à un moment, il faut arrêter les tentatives de réanimation et annoncer l'heure de décès de la bestiole... Enfin, les failles de sécurité "0-day" commencent à bien pulluler sur Windows XP, donc les DSI vont peut-être se bouger un peu...  ;D

Angristan

  • Client Orange Fibre
  • *
  • Messages: 14
  • Yvelines
    • Blog
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #13 le: 07 juin 2016 à 17:08:31 »
Précision : LaFibre.info a :
- la note C sur https://tls.imirhil.fr/https/lafibre.info
- la note A+ sur https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8

Le site imirhil explique moins bien que SSL Labs ce qui dégrade la note ou les risques par exemple pour DES3 qui est en catégorie "Danger"

A noter que j'ai testé le site de SSL Labs sur imirhil : il a lui aussi la note C => https://tls.imirhil.fr/https/www.ssllabs.com
(Inversement, imirhil a la note A+ sur SSL Labs mais avec de nombreux OS non supportés)

Voici une liste de système d’exploitation / navigateurs, non supportés par le chiffrement préconisé par imirhil :
- Android 2.3.7    Server sent fatal alert: protocol_version
- Android 4.0.4    Server sent fatal alert: protocol_version
- Android 4.1.1    Server sent fatal alert: protocol_version
- Android 4.2.2    Server sent fatal alert: protocol_version
- Android 4.3    Server sent fatal alert: protocol_version
- Baidu Jan 2015    Server sent fatal alert: protocol_version
- IE 6 / XP   No FS 1     No SNI 2      Server closed connection
- IE 7 / Vista    Server sent fatal alert: protocol_version
- IE 8 / XP   No FS 1     No SNI 2      Server sent fatal alert: protocol_version
- IE 8-10 / Win 7  R      Server sent fatal alert: protocol_version
- Safari 5.1.9 / OS X 10.6.8    Server sent fatal alert: protocol_version
- Safari 6.0.4 / OS X 10.8.4  R      Server sent fatal alert: protocol_version
- Java 7u25    Server sent fatal alert: protocol_version
- OpenSSL 0.9.8y    Server sent fatal alert: protocol_version

Bref, je ne suis pas sur que ce soit le chemin à utiliser...

En même temps utiliser IE, XP, ou OpenSSL 0.9 en 2016... :)

Pour Android, le problème ne se pose qu'avec le navigateur par défaut, en installant Firefox/Chrome/Opera (mini quand le tel est vraiment vieux) le problème n'est pas présent, si?
(De nombreux téléphones pas forcèment si récents ont Chrome de préinstallé)

Exact, pareil pour XP : ça fonctionne avec autre chose que IE

Plop,

Sans vouloir dire de bêtises, je crois que sur Android, c'est l'OS qui gère directement les certificats, et pas les navigateurs : Paramètres -> Sécurité -> Certificats de confiance. Je crois que c'est ceux là qui sont utilisé par toutes les applications, navigateurs inclus. A vérifier cependant, je suis loin d'être un expert sur Android.  ;D

La bibliothèque de certificats gère les certificats, c'est pas elle qui gère le chiffrement :)


Aeris a fait un article sur la cryto autour de HTTPS en général + la conf pour Apache, où il justifie justement son outil Cryptcheck : https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
Pour ma part j'ai fais un article concernant Nginx, avec aussi pas mal de ressources à la fin : https://angristan.fr/configurer-https-nginx/

vivien

  • Administrateur
  • *
  • Messages: 28 591
    • Twitter LaFibre.info
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #14 le: 07 juin 2016 à 19:05:02 »
Et avec Windows server 2012, tu fais comment si tu ne laisses que TLS 1.2 ?

Pour rappel Internet Explorer 10 est encore supporté pour de nombreuses années sous Windows server 2012 et Internet Explorer 11 n'est pas disponible sur cette version de Windows. (Il faut Windows server 2012 R2 pour avoir IE 11 mais il n'y a pas de mise à jour simple de 2012 vers 2012 R2)

Donc il y a des vieilleries, mais aussi des choses pas trop veilles qui ne supportent pas TLS 1.2. A l'avenir avec les mises à jour automatique, on devrait moins avoir ce type de problème.

Angristan

  • Client Orange Fibre
  • *
  • Messages: 14
  • Yvelines
    • Blog
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #15 le: 07 juin 2016 à 19:15:13 »
Et avec Windows server 2012, tu fais comment si tu ne laisses que TLS 1.2 ?

Pour rappel Internet Explorer 10 est encore supporté pour de nombreuses années sous Windows server 2012 et Internet Explorer 11 n'est pas disponible sur cette version de Windows. (Il faut Windows server 2012 R2 pour avoir IE 11 mais il n'y a pas de mise à jour simple de 2012 vers 2012 R2)

Donc il y a des vieilleries, mais aussi des choses pas trop veilles qui ne supportent pas TLS 1.2. A l'avenir avec les mises à jour automatique, on devrait moins avoir ce type de problème.

On peut pas installer d'autres navigateurs sur Windows server ?

Et au pire, tu actives TLS 1.1 ou 1.0, mais pas la peine de baisser les ciphers ou de laisser 3DES :p

alegui

  • Client Bbox fibre FTTH
  • *
  • Messages: 446
  • FTTH Courbevoie (92)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #16 le: 07 juin 2016 à 20:58:09 »
On peut pas installer d'autres navigateurs sur Windows server ?
Et de toute façon comme son nom l'indique c'est un OS destiné aux serveurs, donc ce n'est pas un drame de ne pas le supporter  ;)
(Oui, je sais, il paraît que 99% des utilisateurs n'utilisent pas les choses pour ce quoi elles sont prévues...)

Et au pire, tu actives TLS 1.1 ou 1.0, mais pas la peine de baisser les ciphers ou de laisser 3DES :p
+1, il faut savoir aussi forcer la main à ceux inconscients du danger de surfer avec IE8

Angristan

  • Client Orange Fibre
  • *
  • Messages: 14
  • Yvelines
    • Blog
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #17 le: 07 juin 2016 à 21:01:34 »
+1, il faut savoir aussi forcer la main à ceux inconscients du danger de surfer avec IE8

À qui le dis-tu :) https://tls.imirhil.fr/https/angristan.fr

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 915
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #18 le: 07 juin 2016 à 22:15:06 »
Il y'a quelques jours, j'ai décidé de passer tous les sites que je gère en HTTPS, avec des certificats Let's Encrypt, après IPv6, c'était pour moi la suite logique pour être dans le 21ème siècle.

Je t'ai quand même bien poussé pour que tu le fasses. Car bon tu n'étais pas très motivé !

corrector

  • Invité
3DES
« Réponse #19 le: 08 juin 2016 à 08:41:33 »
De toute façon, supprimer TLS 1.0, ce n'est pas le plus urgent, le plus important c'est de supprimer 3DES ()
Pourquoi?
« Modifié: 08 juin 2016 à 23:57:00 par corrector »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 008
  • Lyon & Paris
    • MilkyWan
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #20 le: 08 juin 2016 à 09:55:49 »
Je t'ai quand même bien poussé pour que tu le fasses. Car bon tu n'étais pas très motivé !

Oui oui, oui oui oui, Je vais encore me faire chier dessus cet aprem, merci Thibault  :-*

Artheriom

  • Client Orange adsl
  • *
  • Messages: 24
  • Clermont-Fd (63)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #21 le: 08 juin 2016 à 12:34:28 »
Pourquoi?

Ce passage de Wikipédia (EN) résume pas mal le problème :
Citer
In general, Triple DES with three independent keys (keying option 1) has a key length of 168 bits (three 56-bit DES keys), but due to the meet-in-the-middle attack, the effective security it provides is only 112 bits. Keying option 2 reduces the effective key size to 112 bits (because the third key is the same as the first). However, this option is susceptible to certain chosen-plaintext or known-plaintext attacks, and thus, it is designated by NIST to have only 80 bits of security.

Et 3DES est aussi vulnérable à d'autres failles de sécurité... Bref, pour le moment ça tiens à peu près, mais moins on l'implèmente, mieux on se porte. Mais pour le virer définitivement il faudrait que les utilisateurs de XP/IE8 comprennent que c'est pas possible de continuer comme ça, et installent Firefox ou se décident enfin à passer sur 7/10 (Oublions 8, c'est une erreur. :3)

corrector

  • Invité
3DES est obsolète, il n'y a pas de raisons de continuer à l'utiliser
« Réponse #22 le: 09 juin 2016 à 00:59:54 »
Ce passage de Wikipédia (EN) résume pas mal le problème :
Et que tu le cites démontre que tu n'as rien compris et que tu ne sais pas de quoi tu parles.

Personne dans le milieu de la cryptographie n'a jamais dit que 3DES avait une solidité équivalente à sa taille de clef! C'est un gag récurant chez les nobs de la crypto qui pullulent sur les forums de crétins (Numerama, developpez.net...). Je ne peux pas laisser passer ce type de discours ici.

Et 3DES est aussi vulnérable à d'autres failles de sécurité...
Ah oui, lesquelles?

Bref, pour le moment ça tiens à peu près, mais moins on l'implèmente, mieux on se porte.
Non, ça tient parfaitement!

Mais pour le virer définitivement il faudrait que les utilisateurs de XP/IE8 comprennent que c'est pas possible de continuer comme ça, et installent Firefox ou se décident enfin à passer sur 7/10 (Oublions 8, c'est une erreur. :3)
3DES est une antiquité, 3DES est obsolète, il n'y a pas de raisons de continuer à l'utiliser alors qu'on dispose de solutions modernes plus efficaces et certainement au moins aussi solides, et qui n'obligent pas à manipuler des clefs plus grandes.

vivien

  • Administrateur
  • *
  • Messages: 28 591
    • Twitter LaFibre.info
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #23 le: 09 juin 2016 à 08:35:51 »
Corrector, cela serait possible d'avoir un langage plus politiquement correct ?
Cela ne fait pas avancer de traiter les autres "tu n'as rien compris" "tu ne sais pas de quoi tu parles" "forums de crétins (Numerama, developpez.net...)"

 

Mobile View