La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 07 septembre 2014 à 17:33:26
-
SSL/TLS expliqué par Benjamin Sonntag
SSL/TLS - Benjamin Sonntag (https://www.youtube.com/watch?v=7SEp9C1aBFE#ws)
La configuration de Apache 2.4 est abordée à 1h et 34 minutes.
Les slides présentés : (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/bistro/201309_ssl-tls_explique_par_benjamin_sonntag.png) (https://lafibre.info/images/bistro/201309_ssl-tls_explique_par_benjamin_sonntag.pdf)
Configuration de Apache 2.4 proposée (attention, elle est incompatible avec Apache 2.2, version d'Apache proposée par Debian) :
(https://lafibre.info/images/bistro/201309_ssl-tls_explique_par_benjamin_sonntag_1.png)
J'ai testé la configuration proposée et la CipherSuite a un gros défaut : Elle exclut complètement Internet Explorer sous Windows XP.
Firefox sous Windows XP fonctionne parfaitement.
Internet Explorer 8 sous Windows 7 fonctionne parfaitement.
Mais Internet Explorer 8 sous Windows XP ne fonctionnera pas du tout.
J'ai testé et voici ce que cela affiche (le site http a une redirection vers le https) :
(https://lafibre.info/images/wireshark/201409_surf_lafibre_ie8_winxp.png)
Pour ceux qui sont curieux, voici la capture Wireshark : (fichier lisible avec Wireshark, .pcapng.gz est la nouvelle extension compressé de Wireshark)
=> https://lafibre.info/images/wireshark/201409_surf_lafibre_ie8_winxp.pcapng.gz (https://lafibre.info/images/wireshark/201409_surf_lafibre_ie8_winxp.pcapng.gz)
La CipherSuite proposée par Benjamin Sonntag :
SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM
A noter que j'ai remis la CipherSuite qui permet une compatibilité d'Internet Explorer 8 sous Windows XP, car il encore un nombre non négligeable de personnes en entreprises qui sont bloquées avec Windows XP et Internet Explorer, sans possibilité d’installer un autre navigateur web.
CipherSuite avec support de Internet Explorer 8 sous Windows XP :
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Pour le reste de la configuration, je vous renvoie sur mon Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples (https://lafibre.info/cryptographie/tuto-https/)
-
Une conf' plus récente, sur le même sujet, signée Benjamin Sonntag :
http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/ (http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/)
-
C'est la même, qui date du 20 septembre 2013.
-
Mmm, j'avais mal lu. Je pensais que l'origine de ton topic évoquait une conf' de Benjamin Bayart.
-
@24:05
"Le protocole lui-même le change pas, c'est l'avantage de SSL/TLS"
Inexact!
Il faut bien encoder l'information "il faut passer par HTTPS" (p.ex. changer les liens http: en https:).
@28:45
"C'est pas très grave"
Cela implique juste au minimum de refaire tous les certificats finaux. En plus, je ne crois pas que la révocation d'autorité intermédiaire marche très bien en pratique.
@57:10
"pas le nom de domaine"
Si, justement, tout le monde voit le nom de domaine; c'est même la seule chose qui passe en clair.
-
Alors vivien, maintenant que tu as activé DNSSEC sur lafibre, tu nous mets DANE?