La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: Electrocut le 22 juillet 2020 à 11:57:38
-
Bonjour,
Je cherche à envoyer des Mail via smtp.orange.fr (port 465), avec sécurisation TLS/SSL.
Pour cela, j'utilise libcurl 7.66.0 + openssl 1.1.1, en ne laissant actif que les suites suites cryptographiques recommandées par l'ANSSI (https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/), à savoir :
TLS_AES_256_GCM_SHA384 (0x1302)
TLS_AES_128_GCM_SHA256 (0x1301)
TLS_AES_128_CCM_SHA256 (0x1304)
TLS_CHACHA20_POLY1305_SHA256 (0x1303)
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xC02C)
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xC02B)
TLS_ECDHE_ECDSA_WITH_AES_256_CCM (0xC0AD)
TLS_ECDHE_ECDSA_WITH_AES_128_CCM (0xC0AC)
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xCCA9)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xC030)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC02F)
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xCCA8)
La négociation TLS échoue (Aucune suite TLS commune trouvée). En effet, en listant les suites TLS prises en charge par le serveur (via le script fourni ici (https://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particular-website-offers)), j'obtiens :
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Aucune de ces suites ne respectent les préconisations TLS de l'ANSSI.
Par quel biais solliciter Orange afin qu'il revoient la configuration de leur serveur SMTP ?
Merci !
-
Tu peux tenter de les joindre via le service abuse.
Par contre, je pense qu'ils vont t'envoyer balader. Ce sont que des recommendations, pas des obligations.
-
je pense qu'ils vont t'envoyer balader.
pour moi c'est garantit...
-
Electrocut, le SMTP d'Orange ne supporte que TLS 1.0
Oui en 2020 !
Thunderbird 78 vient de supprimer le support de TLS 1.0 et TLS 1.1. On espère que cela va faire bouger Orange.
-
Merci à tous pour vos première réponses 8)
Je peux tenter la solution abuse@orange.fr, mais il y a effectivement un fort risque que le mail ne tombe pas chez les personnes à même de remédier à la situation.
Electrocut, le SMTP d'Orange ne supporte que TLS 1.0
Oui en 2020 !
Thunderbird 78 vient de supprimer le support de TLS 1.0 et TLS 1.1. On espère que cela va faire bouger Orange.
A priori ça passe quand même en TLS 1.2, mais avec des suites crypto non recommandables.
Si je force l'utilisation de TLS 1.2 avec l'une des 6 suites crypto listée ci-dessus, c'est bon :
pi@domoticz:~ $ openssl s_client -connect smtp.orange.fr:465 -cipher ECDHE-RSA-AES256-SHA -tls1_2
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
verify return:1
depth=0 C = FR, L = Paris, O = Orange, OU = Orange France, CN = smtp.orange.fr
verify return:1
---
Certificate chain
0 s:/C=FR/L=Paris/O=Orange/OU=Orange France/CN=smtp.orange.fr
i:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
1 s:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
---
...
Mais la suite ECDHE-RSA-AES256-SHA n'est pas conforme aux recommandations ANSSI ;-)
Pour info, je viens de soumettre smtp.orange aux tests https://www.ssllabs.com/ssltest/ et https://tls.imirhil.fr/
Les résultats sont sans appel !
L'idéal serait effectivement qu'un client tel que Thunderbird déprécie les algorithmes concernés, ça devrait accélérer les choses ;D
-
Electrocut, le SMTP d'Orange ne supporte que TLS 1.0
Oui en 2020 !
Thunderbird 78 vient de supprimer le support de TLS 1.0 et TLS 1.1. On espère que cela va faire bouger Orange.
Thunderbird version 78.0 is only offered as direct download from thunderbird.net and not as an upgrade from Thunderbird version 68 or earlier. A future release will provide updates from earlier versions.
Add-on support: As of version 78.0, Thunderbird only supports MailExtensions. Your favorite add-ons may not have been updated for compatibility.
At this time, users of the Enigmail Add-on should not update to Thunderbird 78.
OpenPGP functionality for Thunderbird 78 is still work in progress, and is disabled by default in the initial 78.0 release. See the wiki for how to enable and help with testing.
System Requirements: Details
Windows: Windows 7 or later
Mac: macOS 10.9 or later
Linux: GTK+ 3.14 or higher
https://www.thunderbird.net/en-US/thunderbird/78.0/releasenotes/ (https://www.thunderbird.net/en-US/thunderbird/78.0/releasenotes/)
-
Bonne nouvelle, il y a un an, TLS 1.2 n'était pas supporté.
C'est dommage que le rajout de TLS 1.2 ne s'est pas fait avec les suites cryptographiques recommandées.