Le 17/12/2014 00:36, Jonathan Leroy a écrit :
Le 17 décembre 2014 00:07, Luc PIERRE <lucp...@gmail.com> a écrit :
Hello,
Salut,
l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son
webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour
n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il
me semble que bloquer le chiffrement ne revient pas a bloquer le protocole
et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le
RC4_128 non ?
Oui, protocoles de sécurisation et algorithmes de chiffrement sont
deux choses différentes.
Aujourd'hui, il est conseillé de désactiver tous les protocoles < TLS
1.0 (dont SSLv3) et certains algos sensibles aux attaques comme RC4.
Un exemple de conf Nginx respectant les recommandations actuelles du
Qualys SSL Labs (https://www.ssllabs.com/) :
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS;
ssl_prefer_server_ciphers on;
Qualys propose aussi un test en ligne pour vérifier la confirmité d'un
site : https://www.ssllabs.com/ssltest/index.html
Je rajouterai même un site qui récap bien les ciphers et autres confs a
utiliser
https://wiki.mozilla.org/Security/Server_Side_TLS
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
