Auteur Sujet: Quelques bonnes pratiques pour HTTPS avec Apache2  (Lu 10884 fois)

0 Membres et 1 Invité sur ce sujet

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Quelques bonnes pratiques pour HTTPS avec Apache2
« le: 06 juin 2016 à 19:03:25 »
Il y'a quelques jours, j'ai décidé de passer tous les sites que je gère en HTTPS, avec des certificats Let's Encrypt, après IPv6, c'était pour moi la suite logique pour être dans le 21ème siècle.

Après une discussion avec Stan et TitiDu01 sur Twitter, j'ai remarqué que le chiffrement de mes sites était très mauvais (50% sur tls.imirhil.fr).

Après quelques recherches, voici la "bonne" configuration pour Apache2 sous Ubuntu 16.04 (Sous Debian, je n'arrive pas à monter aussi haut à cause d'OpenSSL en version 1.0.1)

Premièrement, générer un certificat avec une clé 4096 Bits :

Pour une première génération :

sudo ./letsencrypt-auto certonly --rsa-key-size 4096
Pour un renouvellement (J'ai de gros soucis à ce niveau, d'ailleurs.)

sudo ./letsencrypt-auto renew  --rsa-key-size 4096 --force-renew
Deuxièmement : Dans /etc/letsencrypt/options-ssl-apache.conf, remplacer SSLCipherSuite (de mémoire, je ne me souviens plus du fichier original :/) par celui là :

SSLCipherSuite EECDH+AES:+AES128:+AES256:+SHA
Enfin, si votre version d'Ubuntu le permet, modifier SSLOpenSSLConfCmd avec :

SSLOpenSSLConfCmd ECDHParameters secp384r1
Et voilà, vous devriez avoir un meilleur chiffrement sur votre site en HTTPS ! Vous pouvez le tester avec cet outil : https://tls.imirhil.fr

À noter qu'il est impossible d'avoir 100/100 sans faire de trop gros compromis, donc vous devez avoir un score de 96/100.

Et enfin, Vivien me l'a précisé, si vous avez des clients sous Windows XP avec IE8 ou Android >4.3 ou encore Windows Phone 8, Vous devez laisser certains paramètres :

Citation de: vivien

Ma mauvaise note sur ton site viens de la prise en charge de DES3 et TLS 1 / TLS 1.1

DES3 est nécessaire pour que lafibre.info soit accessible depuis Windows XP avec IE 8.

TLS 1.0 est nécessaire pour Android 4.3 et inférieur, Win Phone 8.0 ou Internet Explorer 10 sous Windows 7.

Ce sont des protocoles anciens mis pas de grosse faille de sécurité, d'où la note A+

LaFibre.info n'est pas disponible en http donc il faut limiter ls restrictions pour les vieux protocoles si il n'y a pas de pb de sécurité.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #1 le: 06 juin 2016 à 19:08:34 »
Précision : LaFibre.info a :
- la note C sur https://tls.imirhil.fr/https/lafibre.info
- la note A+ sur https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8

Le site imirhil explique moins bien que SSL Labs ce qui dégrade la note ou les risques par exemple pour DES3 qui est en catégorie "Danger"

A noter que j'ai testé le site de SSL Labs sur imirhil : il a lui aussi la note C => https://tls.imirhil.fr/https/www.ssllabs.com
(Inversement, imirhil a la note A+ sur SSL Labs mais avec de nombreux OS non supportés)

Voici une liste de système d’exploitation / navigateurs, non supportés par le chiffrement préconisé par imirhil :
- Android 2.3.7    Server sent fatal alert: protocol_version
- Android 4.0.4    Server sent fatal alert: protocol_version
- Android 4.1.1    Server sent fatal alert: protocol_version
- Android 4.2.2    Server sent fatal alert: protocol_version
- Android 4.3    Server sent fatal alert: protocol_version
- Baidu Jan 2015    Server sent fatal alert: protocol_version
- IE 6 / XP   No FS 1     No SNI 2      Server closed connection
- IE 7 / Vista    Server sent fatal alert: protocol_version
- IE 8 / XP   No FS 1     No SNI 2      Server sent fatal alert: protocol_version
- IE 8-10 / Win 7  R      Server sent fatal alert: protocol_version
- Safari 5.1.9 / OS X 10.6.8    Server sent fatal alert: protocol_version
- Safari 6.0.4 / OS X 10.8.4  R      Server sent fatal alert: protocol_version
- Java 7u25    Server sent fatal alert: protocol_version
- OpenSSL 0.9.8y    Server sent fatal alert: protocol_version

Bref, je ne suis pas sur que ce soit le chemin à utiliser...

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #2 le: 06 juin 2016 à 21:04:04 »
mouais idem mes sites A+ sur SSLLabs sont en C sur imirhil ...

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #3 le: 06 juin 2016 à 21:17:04 »
C'est un peu un ayatollah de la cryptographie en même temps.
(Voir ici sa liste de protocoles à utiliser)
(Cela dit, supprimer 3DES améliorerait bien la note et ne supprimerait que IE sous Windows XP, pas une grosse perte)

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #4 le: 06 juin 2016 à 21:47:27 »
supprimer 3DES améliorerait bien la note et ne supprimerait que IE sous Windows XP, pas une grosse perte

K-Net qui avait supprimé le support de Internet Explorer 8 sous Windows XP, l'a remis suite à des plaintes clients en 2015 :
salut à tous, je viens de m'inscrire sur LaFibre.info apparemment seul moyen pour espérer trouver une info à mon problème.
je ne peux plus non plus accéder au site de knet.
si quelqu'un a déjà  rencontrer cette situation  ou bien peut me conseiller...
A bientôt, Nicolas
salut Vivien, merci pour vos réponses
malheureusement je ne suis pas expert
mon navigateur est internet exploreur sur windows XP
Il a la fibre, mais il a Windows XP + IE8... je ne commenterais pas les performances réseau de Windows XP avec sa Rwin de 64 Ko... si le serveur n'est pas tout proche, les débits sont médiocres.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #5 le: 06 juin 2016 à 21:49:36 »
Non mais à un moment, faut éduquer les gens, pas supporter des trucs dépassés.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #6 le: 06 juin 2016 à 22:00:07 »
Pour un particulier c'est étonnant qu'il n'a pas basculé sur Firefox.

Par contre en entreprise des postes avec Windows XP + IE8 et impossibilité d'installer autre chose, cela existe toujours, je suis sur qu'on peut avoir des témoignages ici.

La vocation de ces postes n'est pas d'accéder à l'Internet, mais à l'intranet de la boite.

Il faudrait que je filtre les log de LaFibre.info pour voir le nb de visite de ce type.


Internet Explorer desktop market share May 2016 via Net Applications :
Internet Explorer 6     0.33%
Internet Explorer 7     0.68%
Internet Explorer 8     6.21%
Internet Explorer 9     4.00%
Internet Explorer 10    3.11%
Internet Explorer 11    19.27%
All variants            33.60%

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #7 le: 06 juin 2016 à 22:02:50 »
Personnellement, si j'ai des requètes de clients qui ne peuvent pas se connecter sous Windows XP/IE8, je leur rappelle juste gentiment qu'ils ne sont plus supportés :p

(En même temps, si ça ne tenait qu'a moi, j'aurais viré IPv4 de partout, donc bon, je suis surement un poil extrémiste)

Artheriom

  • Abonné Orange adsl
  • *
  • Messages: 24
  • Clermont-Fd (63)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #8 le: 06 juin 2016 à 22:39:40 »
Personnellement, si j'ai des requètes de clients qui ne peuvent pas se connecter sous Windows XP/IE8, je leur rappelle juste gentiment qu'ils ne sont plus supportés :p

(En même temps, si ça ne tenait qu'a moi, j'aurais viré IPv4 de partout, donc bon, je suis surement un poil extrémiste)

Et si tu fais ça en entreprise, tu te ferais gentiment mettre à la porte aussi. :3 Respecter les "anciens" protocole ne mange pas de pain tant qu'il n'y à pas de faille de sécurité. Personnellement j'ai été contraint sur pas mal de sites de laisser activer les vieux protocoles, car comme le dis vivien :
Citer
Par contre en entreprise des postes avec Windows XP + IE8 et impossibilité d'installer autre chose, cela existe toujours, je suis sur qu'on peut avoir des témoignages ici.
Et le pire, c'est que c'est pas qu'en entreprise... Dans l'éducation (et je suis dans le supérieur...), on à toujours ce genre d'abominations. On à même encore certaines bécanes qui tournent sous 98 pour certains logiciels "que sinon ça marche plus". Du coup, la sécurité du réseau, et la compatibilité globale, tu te la met où je pense bien sûr. Et pareil, notre "serveur principal" tournait encore récemment sous... Debian 5.0 "Lenny". Voila voila...

Concernant https://tls.imirhil.fr/ , il est en effet légèrement parano, tant que SSLLab m'indique A ou A+, ça me conviens en règle générale. Et puis quand on sait que le site du LCL se tape un C sur SSLLab (https://www.ssllabs.com/ssltest/analyze.html?d=particuliers.secure.lcl.fr) , on peut se dire qu'on est tous plus sécurisés qu'une banque. :3 (Personnellement, ça me fais plus peur qu'autre chose mais bon)
EDIT : Par ailleurs, après avoir testé avec un site que je sais vulnérable, tls.imirhil.fr n'a pas l'air de faire attention au fait que les sites soient potentiellement vulnérables aux failles de sécurités, notamment la dernière en date, CVE-2016-2107, alors que SSLLabs passe directement le site en grade F quand la vulnérabilité est présente...

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #9 le: 06 juin 2016 à 22:43:05 »
Et si tu fais ça en entreprise, tu te ferais gentiment mettre à la porte aussi.

Je vois pas le rapport, m'enfin. En entreprise, tu t'adapte à ton parc, sur internet, c'est le parc qui s'adapte aux nouvelles technos (HTML5 par ex.)

Artheriom

  • Abonné Orange adsl
  • *
  • Messages: 24
  • Clermont-Fd (63)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #10 le: 06 juin 2016 à 22:53:39 »
Je vois pas le rapport, m'enfin. En entreprise, tu t'adapte à ton parc, sur internet, c'est le parc qui s'adapte aux nouvelles technos (HTML5 par ex.)

Si tu gère le site de ta boîte (avec potentiellement une équipe), que tu vas voir ton patron et que tu lui dis : "Bon, le site officiel est sûr à 100%, par contre ça supporte plus XP/IE8 ni les smartphone ayant Android 4.3 ou inférieur ou Windows Phone 8 ou inférieur, il risque de te chanter ramona. Autant pour XP|IE8 et Windows Phone 8, on s'en tape, c'est peu de monde désormais (même si XP|IE8 y'a encore du monde...). Par contre, Android 4.3< , c'est beaucoup, beaucoup de monde. Les opérateurs (Sony notamment) ne mettent pas à jour la majorité des téléphones vendus par OTA. Conclusions, certains restent bloqués à des vieilles version. Selon Google, près d'1/4 des terminaux mobiles exécutent encore Android 4.3 ou inférieur... Dont 10% sur 4.2, et encore plus de 2% sur les version 2.x !
Par pur exemple, mon ancien téléphone (Xperia M) est resté 4 mois sous 4.3 après la sortie de 4.4... Et certains n'ont jamais la chance de passer de version. Bref, couper les "vieux" protocoles pourtant encore assez sûrs, c'est bloquer du monde pour pas grand chose. Après, si ils deviennent peu sûr, c'est clair qu'il faut les couper. Par exemple, SSL2/3, c'est plus possible de laisser ces choses sur un serveur en prod'.

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Quelques bonnes pratiques pour HTTPS avec Apache2
« Réponse #11 le: 07 juin 2016 à 00:16:58 »
Pour Android, le problème ne se pose qu'avec le navigateur par défaut, en installant Firefox/Chrome/Opera (mini quand le tel est vraiment vieux) le problème n'est pas présent, si?
(De nombreux téléphones pas forcèment si récents ont Chrome de préinstallé)

De toute façon, supprimer TLS 1.0, ce n'est pas le plus urgent, le plus important c'est de supprimer 3DES et donc IE8 sous XP...  >:(