Le 17 décembre 2014 00:07, Luc PIERRE <lucp...@gmail.com> a écrit : > Hello,
Salut, > l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son > webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour > n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il > me semble que bloquer le chiffrement ne revient pas a bloquer le protocole > et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le > RC4_128 non ? Oui, protocoles de sécurisation et algorithmes de chiffrement sont deux choses différentes. Aujourd'hui, il est conseillé de désactiver tous les protocoles < TLS 1.0 (dont SSLv3) et certains algos sensibles aux attaques comme RC4. Un exemple de conf Nginx respectant les recommandations actuelles du Qualys SSL Labs (https://www.ssllabs.com/) : ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS; ssl_prefer_server_ciphers on; Qualys propose aussi un test en ligne pour vérifier la confirmité d'un site : https://www.ssllabs.com/ssltest/index.html -- Jonathan Leroy. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
