Auteur Sujet: TLS 1.3 arrive...  (Lu 21924 fois)

0 Membres et 1 Invité sur ce sujet

Ralph

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 700
  • M.E.L. (59) / 1Gbps ↓ + ↑
TLS 1.3 arrive...
« Réponse #36 le: 26 février 2019 à 11:24:51 »
Et nginx ?  ::)

Je suis en TLS 1.3 avec nginx sur serveur perso depuis début décembre, ça dépend surtout de la version d'OpenSSL associée.

Ilyazam

  • Abonné MilkyWan
  • *
  • Messages: 118
  • proche Rennes (35)
TLS 1.3 arrive...
« Réponse #37 le: 27 février 2019 à 18:20:21 »
Quand je vois que j'ai des serveurs Suse SLES11 SP4 au boulot qui ont une version d'OpenSSL qui ne supporte pas TLS 1.1/1.2  :P

Darkjeje

  • Abonné Free adsl
  • *
  • Messages: 592
  • Free VDSL2 Issy-les-Moulineaux (92)
TLS 1.3 arrive...
« Réponse #38 le: 11 avril 2019 à 14:08:34 »
Je viens de passer sous Debian 9 pensant passer à TLSv1.3, mais j'avais oublié qu'Apache2 n'était qu'en version 2.25 stable sur cette distrib.

Doit-on attendre Debian 10, où peut-on installer openssl 1.1.1 et apache2.35 ou autre, pour en bénéficier ?

J'ai lu qu'il valait mieux ne pas installer de version de paquet supérieur à celle fourni par défaut et en sécurité avec la distrib, sous peine de sortir des MAJ de sécurité et de se retrouver avec un programme non mis à jour. Bref qu'il était plus dangereux de mettre TLSv1.3 en upgradant soit même apache2 que de rester sur 1.2 avec MAJ auto de sécurité.

Que conseillez-vous ?

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
TLS 1.3 arrive...
« Réponse #39 le: 11 avril 2019 à 14:18:43 »
Que conseillez-vous ?
Docker et un container avec une version d'apache + openssl qui supporte TLS1.3 ?


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
TLS 1.3 arrive...
« Réponse #40 le: 11 avril 2019 à 16:30:03 »
Que conseillez-vous ?

virer Apache , mettre Caddy  ;D

et accessoirement virer Debian pour mettre un OS minimalist (Container Linux par exemple).

Caddy avec Docker + certif Letsencrypt automatique + TLS 1.3:

installation du container
docker run -d \
    --name caddy\
    --restart unless-stopped\
    -v /opt/web/Caddyfile:/etc/Caddyfile \
    -v /opt/web/.caddy:/root/.caddy \
    -v /opt/web/www:/www \
    -v /opt/web/logs:/logs \
    -p 80:80 -p 443:443 \
    --log-driver=journald \
    --log-opt tag="{{.Name}}" \
    abiosoft/caddy -agree -conf /etc/Caddyfile

ajuster "/opt/web/" au dossier qu'on souhaite.
Dans ce dossier mettre  le fichier Caddyfile:

Caddyfile:
https://monsite.com, http://monsite.com,  https://www.monsite.com, http://www.monsite.com {
    root /www/monsite.com
    log / /logs/monsite.com/access.log {combined}
    errors /logs/monsite.com/errors.log
    gzip
    tls mon@email.com

    header / {
        # a virer si on veux pouvoir utiliser http://...
        Strict-Transport-Security "max-age=31536000;"
        # trucs de renforcement sécurité (pas obligé)
        X-XSS-Protection "1; mode=block"
        X-Content-Type-Options "nosniff"
        X-Frame-Options "DENY"
    }
}

mettre le contenu du site dans /opt/web/www/monsite.com
les logs d’accès seront dans /opt/web/logs/monsite.com/access.log, les erreurs dans errors.log
"journactl -t caddy" pour voir le log du container (ou "docker logs caddy").
"docker kill -s USR2 caddy" pour recharger la config (suite modif Caddyfile).

on peut ajouter autant de sites qu'on veut a la suite dans le Caddyfile.

si on veut du PHP, utiliser l'image docker "abiosoft/caddy:php".

sinon voir les exemples https://github.com/caddyserver/examples

Darkjeje

  • Abonné Free adsl
  • *
  • Messages: 592
  • Free VDSL2 Issy-les-Moulineaux (92)
TLS 1.3 arrive...
« Réponse #41 le: 11 avril 2019 à 19:06:27 »
Merci à tous les deux pour vos conseils.
Je vais regarder ça.
Par contre je pense garder debian enfin Raspbian qui est installé sur mon raspberry.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
TLS 1.3 arrive...
« Réponse #42 le: 11 avril 2019 à 21:37:49 »
Le type est concerné par la sécurité (pour rappel, c'est un peu la base), l'abreuver de ce genre d'absurdité est-elle de l'inconscience, de l'ignorance, ou pire de la malveillance ?

La bonne réponse à la question de base: attendre que ta distribution te fournisse openssl 1.1.1

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
TLS 1.3 arrive...
« Réponse #43 le: 11 avril 2019 à 21:58:02 »
Le type est concerné par la sécurité (pour rappel, c'est un peu la base), l'abreuver de ce genre d'absurdité est-elle de l'inconscience, de l'ignorance, ou pire de la malveillance ?

La bonne réponse à la question de base: attendre que ta distribution te fournisse openssl 1.1.1

Chacun son avis. Ton opinion != faits.

En terme de sécurité mon opinion est qu'il est justement plus couvert avec un solution docker + un produit mis a jour rapidement comme Caddy que dépendre d'une usine a gaz dépassée que sont les grosses distribs Linux.

Apres si c'est pour un Pi ... *no comment*

peace.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
TLS 1.3 arrive...
« Réponse #44 le: 11 avril 2019 à 22:04:59 »
Ton opinion != faits.
T'inquiètes, ce sont bien des faits que j'évoque :)
Ta non-acceptation reste ton problème personnel;

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
TLS 1.3 arrive...
« Réponse #45 le: 12 avril 2019 à 09:00:05 »
T'inquiètes, ce sont bien des faits que j'évoque :)
Ta non-acceptation reste ton problème personnel;

Des paroles en l'air , un ton très condescendant laissant percé une haute opinion de soi-meme associé avec un refus complet d'un échange d'idées argumentées, c'est tout ce que je vois pour l'instant.

Franchement ca sert a quoi de ce type d'échange a part polluer le forum ? y'a assez de spam comme ca.


ubune

  • Abonné Orange Fibre
  • *
  • Messages: 315
TLS 1.3 arrive...
« Réponse #46 le: 12 avril 2019 à 09:13:57 »
En tous cas merci kgersen,

Suite à ton post j'ai testé Caddy, et wow c'est super propre :).
Site basculé en quelques minutes !


Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
TLS 1.3 arrive...
« Réponse #47 le: 12 avril 2019 à 23:31:48 »
Je viens de passer sous Debian 9 pensant passer à TLSv1.3, mais j'avais oublié qu'Apache2 n'était qu'en version 2.25 stable sur cette distrib.
Doit-on attendre Debian 10, où peut-on installer openssl 1.1.1 et apache2.35 ou autre, pour en bénéficier ?

Salut,
As-tu tant besoin de TLS1.3 ? S'il s'agit de conseil je pense que tu devrais plutôt garder une bonne maîtrise de ton système : surtout pas d'openssl1.1.1 dans Debian9 donc. Je ne vois ensuite pas actuellement de "besoin" de supporter TLS1.3 pour un serveur, comparé à celui de correctement configurer TLS1.2 (ciphersuites & co) et virer TLS1.0 et 1.1.
S'il s'agit de discuter technique (je n'héberge que des services personnels), de mon côté j'ai Debian10+Apache, avec TLS1.3, tout ronronne (Debian buster installée après le freeze, je préfère procéder ainsi pour un nouveau serveur plutôt que gérer un dist-upgrade qui approche). %{SSL_PROTOCOL}x dans le LogFormat permet de suivre l'utilisation des différentes versions du protocole.