Auteur Sujet: SSL/TLS expliqué par Benjamin Sonntag  (Lu 2737 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
SSL/TLS expliqué par Benjamin Sonntag
« le: 07 septembre 2014 à 17:33:26 »
SSL/TLS expliqué par Benjamin Sonntag


La configuration de Apache 2.4 est abordée à 1h et 34 minutes.

Les slides présentés : (cliquez sur la miniature ci-dessous - le document est au format PDF)


Configuration de Apache 2.4 proposée (attention, elle est incompatible avec Apache 2.2, version d'Apache proposée par Debian) :


J'ai testé la configuration proposée et la CipherSuite a un gros défaut : Elle exclut complètement Internet Explorer sous Windows XP.
Firefox sous Windows XP fonctionne parfaitement.
Internet Explorer 8 sous Windows 7 fonctionne parfaitement.
Mais Internet Explorer 8 sous Windows XP ne fonctionnera pas du tout.

J'ai testé et voici ce que cela affiche (le site http a une redirection vers le https) :


Pour ceux qui sont curieux, voici la capture Wireshark : (fichier lisible avec Wireshark, .pcapng.gz est la nouvelle extension compressé de Wireshark)
=> https://lafibre.info/images/wireshark/201409_surf_lafibre_ie8_winxp.pcapng.gz

La CipherSuite proposée par Benjamin Sonntag :

SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM
A noter que j'ai remis la CipherSuite qui permet une compatibilité d'Internet Explorer 8 sous Windows XP, car il encore un nombre non négligeable de personnes en entreprises qui sont bloquées avec Windows XP et Internet Explorer, sans possibilité d’installer un autre navigateur web.

CipherSuite avec support de Internet Explorer 8 sous Windows XP :

SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Pour le reste de la configuration, je vous renvoie sur mon Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples

Damien

  • Expert
  • *
  • Messages: 1 917
SSL/TLS expliqué par Benjamin Sonntag
« Réponse #1 le: 07 septembre 2014 à 19:19:41 »
Une conf' plus récente, sur le même sujet, signée Benjamin Sonntag :
http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
SSL/TLS expliqué par Benjamin Sonntag
« Réponse #2 le: 07 septembre 2014 à 19:33:49 »
C'est la même, qui date du 20 septembre 2013.

Damien

  • Expert
  • *
  • Messages: 1 917
SSL/TLS expliqué par Benjamin Sonntag
« Réponse #3 le: 07 septembre 2014 à 23:19:47 »
Mmm, j'avais mal lu. Je pensais que l'origine de ton topic évoquait une conf' de Benjamin Bayart.

corrector

  • Invité
SSL/TLS expliqué par Benjamin Sonntag
« Réponse #4 le: 09 septembre 2014 à 07:23:11 »
@24:05
"Le protocole lui-même le change pas, c'est l'avantage de SSL/TLS"

Inexact!

Il faut bien encoder l'information "il faut passer par HTTPS" (p.ex. changer les liens http: en https:).

@28:45
"C'est pas très grave"

Cela implique juste au minimum de refaire tous les certificats finaux. En plus, je ne crois pas que la révocation d'autorité intermédiaire marche très bien en pratique.

@57:10
"pas le nom de domaine"
Si, justement, tout le monde voit le nom de domaine; c'est même la seule chose qui passe en clair.
« Modifié: 09 septembre 2014 à 08:41:07 par corrector »

corrector

  • Invité
SSL/TLS expliqué par Benjamin Sonntag
« Réponse #5 le: 09 septembre 2014 à 11:43:15 »
Alors vivien, maintenant que tu as activé DNSSEC sur lafibre, tu nous mets DANE?