Auteur Sujet: Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2  (Lu 16445 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #12 le: 08 novembre 2018 à 14:29:22 »
exemple sur une debian7 avec apache 2.2.22 (oui je sais ça date), pour lui tls1.2 n'est pas disponible alors que dans le cas de debian l'ajout de tls1.2 dans la version 2.2.23 d'apache a été backporté sur la version 2.2.22 (version officielle de debian).

[hs]Je rappelle que Debian 7.0 (Wheezy), sortie le 4 mai 2013, n'est plus supporté, le Long Term Support s'est achevé le 31 mai 2018.

Il y a donc des failles de sécurité non colmatées, je ne conseille pas pour de la prod...[/hs]

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #13 le: 10 novembre 2018 à 19:15:03 »
tout a fait ;)
bon après quand on voit que certains clients tournent toujours sur de la debian 6...
on se dit que deb7 c'est pas si mal  ;D

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #14 le: 10 novembre 2018 à 22:12:49 »
[hs]Je rappelle que Debian 7.0 (Wheezy), sortie le 4 mai 2013, n'est plus supporté, le Long Term Support s'est achevé le 31 mai 2018.

Il y a donc des failles de sécurité non colmatées, je ne conseille pas pour de la prod...[/hs]
Certains paquets sont encore supportés en basculant sur les repos ELTS (extended long term support = support supplèmentaire).
C'est un projet mené par Freexian et les entreprises payant déjà pour un support étendu (Debian LTS), en marge du projet de base.
Seuls les paquets dont le support est payé sont mis à jour en cas de problème, ce n'est donc pas parfait mais couvre de nombreux usages serveur. Bien sûr, ceux qui voudraient avoir d'autres paquets peuvent également participer au financement pour garantir leur support.


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #15 le: 11 novembre 2018 à 10:35:53 »
L’accès à ce dépôt est payant ?

J'en profite d'être avec des fan de vieux linux pour indiquer que je cherche de veilles ISO de linux / bsd pour mettre à disposition sur https://soft.lafibre.info/

Si possible des version d'origines, pas les versions intermédiaires qui contiennent des mises à jour. (par exemple je recherche Debian 8.0 = ok Debian 8.11 = non ok)
Debian 8.11 est sortie le 23 juin 2018 et c'est un Debian 8.0 sortie le 25 avril 2015 + les mises à jour de sécurité jusqu'au 23 juin 2018.

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #16 le: 11 novembre 2018 à 20:38:05 »
L’accès à ce dépôt est payant ?
Non, tout le monde peut y accéder gratuitement et ce sont les mêmes personnes qui font les mises à jour pour les LTS et pour les ELTS.
La seule chose payante est d'être sponsor d'un programme, le prix de la maintenance d'un paquet est divisé par le nombre d'entreprises payant pour son support. Quand plus personne ne veut payer, son support s'arrête.

kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 334
  • Lyon 7ème (69)
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #17 le: 12 novembre 2018 à 00:21:48 »
J'en profite d'être avec des fan de vieux linux pour indiquer que je cherche de veilles ISO de linux / bsd pour mettre à disposition sur https://soft.lafibre.info/
Faudrait que je regarde à l'occaz je dois avoir de vieilles galettes des années 2005/2010.

Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #18 le: 15 novembre 2018 à 20:03:18 »
Effectivement LaFibre.info utilise OpenSSL 1.0.2g , car je n'ai pas encore fait la mise à jour vers Ubuntu 18.04 (pb de compatibilité de SMF avec PHP 7.2)

J'ai par contre d'autres sites web hébergés avec Ubuntu 18.04 et donc OpenSSL 1.1.0g et j'ai la même suite de Cipher Suites et le même problème avec un classement intermédiaire.

J'ai pourtant tenté de reproduire exactement la configuration de https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.29&openssl=1.1.0g&hsts=yes&profile=modern
( Apache 2.4.29 | modern profile | OpenSSL 1.1.0g )

C'est le cas de https://iperf.fr/

Hola
J'avais aussi classement Intermédiaire par le TLSObservatory malgré une cipher suite proche de celle de Moderne, sans trop saisir pourquoi... J'ai aujourd'hui passé mon certificat TLS via Let's Encrypt de RSA vers ECDSA : le TLS Observatory m'a classé Moderne ! J'utilise libssl1.1.1, donc propose ChaCha20+Poly1305 ou TLS1.3, mais ni l'un ni l'autre influent, c'est bien le certificat.

Pour obtenir les certificats via ACME, je n'utilise pas le client certbot, mais acme.sh (ECDSA facile, on peut notamment en automatiser le renouvellement) ; pour garder WinXP+Chrome dans SSLLab, je génère aussi un RSA plus classique, j'indique les deux dans la configuration du vhost. Le certificat intermédiaire de Let's Encrypt reste un RSA dans tous les cas pour encore quelques temps, ça fait grincer certains tests (HTBridge).

Ma SSLCipherSuite a dû évoluer pour virer ECDSA+AESCCM, peu présent côté clients : SSLCipherSuite HIGH+ECDH+CHACHA20:HIGH+ECDH+AESGCM:HIGH+ECDH+AES:!SHA:!AESCCM pour TLS1.2 seul, SSLCipherSuite HIGH+ECDH+CHACHA20:HIGH+ECDH+AESGCM:HIGH+ECDH+AES:+SHA:!AESCCM pour TLS1.0 à 1.2.


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #19 le: 16 novembre 2018 à 09:21:51 »
Sais tu pourquoi Certbot, le client officiel ne propose pas de certificats ECDSA ?

Outre le gain sécurité, la clé est plus petite, il y a don un gain de performance...

Les certificats SSL ECC 256 bits vont remplacer les certificats RSA 2048 bits : plus légers mais plus sécurisés

ECC signifie Elliptic Curve Cryptography (rien à voir avec ECC Error-correcting code). Ici en français, ECC signifie Cryptographie à Courbe Elliptique en français.

La cryptographie basée sur des courbes elliptiques (ECC) permet de générer des clés d'une longueur nettement inférieure à celle des clés RSA pour un niveau de sécurité équivalent.
Cela permet donc un petit gan de performance pour le chargement de site web https.



Note : SSL Labs affiche EC et non ECC quand un certificat est ECC.


Quelle est la différence entre la cryptographie RSA et la cryptographie ECC ?

Les deux systèmes utilisent de grands nombres premiers mais quand RSA est basé sur la factorisation de ces derniers, ECC utilise les logarithmes discrets.

Dans la pratique, clés et certificats fonctionnent de la même façon que RSA mais utilisent simplement un format différent.


Pourquoi opter pour ECC ?

L'évolution technologique oblige l'industrie à augmenter régulièrement la taille minimale des clés RSA. Aujourd'hui générées en 2048-bit minimum, l'ANSSI recommande le 4096-bit à partir de 2020. Or la taille des clés a un impact non négligeable sur la performance de vos équipements.

Les clés ECC étant plus légères, elles permettent aux systèmes d'information compatibles une meilleure performance.

Ci-dessous un tableau présentant l'équivalence taille des clés RSA (bits) vs Taille des clés ECC (bits) :
1024 bits RSA = 160 bits ECC
2048 bits RSA = 224 bits ECC
3072 bits RSA = 256 bits ECC
7680 bits RSA = 384 bits ECC
15360 bits RSA = 521 bits ECC

Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #20 le: 16 novembre 2018 à 10:54:02 »
Sais tu pourquoi Certbot, le client officiel ne propose pas de certificats ECDSA ?

Outre le gain sécurité, la clé est plus petite, il y a don un gain de performance...

Ne le propose pas de façon simple et automatisable plutôt ; aucune idée, je suppose que c'est un "work in progress" côté EFF qui développe certbot. Mais vraiment je n'ai pas été déçu par acme.sh, fourni avec de nombreux modules permettant la validation DNS automatisée.
« Modifié: 16 novembre 2018 à 13:59:24 par Sendell »

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #21 le: 16 novembre 2018 à 14:33:36 »
bon après quand on voit que certains clients tournent toujours sur de la debian 6...
... et encore ... chez certains Debian6 c'est presque du luxe. Il y a dans la nature jusqu'au debian 4 voire meme dans quelques cas 3 (j'ai bien hallucine).

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #22 le: 16 novembre 2018 à 14:41:41 »
J'ai chez moi un PC portable IBM avec Debian 3 qui fonctionne toujours.

Difficile de mettre un OS plus récent sur un PC portable qui n'a qu'un lecteur de disquette (oui, il est possible d'installer Debian 3 avec des disquettes 1,4Mo, je l'ai fait)

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Script pour analyser les log Apache et sortir les clients non compatible TLS 1.2
« Réponse #23 le: 16 novembre 2018 à 15:11:55 »
On a des clients qui ont encore des applications critiques sur des systèmes plus maintenus (no patch) depuis plus de 5 ans : RedHat EL 4, Solaris 9, AIX 5.2, Oracle Database 10g etc...