Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Jean Théry
Sur apache2.4 la configuration par vhost fonctionne très bien. Le 24/10/2014 12:00, fr...@jack.fr.eu.org a écrit : > Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté > La seule exception à ma connaissance est SNI, qui permet de donner une > indication du nom "cible" > > Je doute

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet frsag
Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté La seule exception à ma connaissance est SNI, qui permet de donner une indication du nom "cible" Je doute qu'il existe un mécanisme de ce genre pour la version du protocole On 24/10/2014 11:52, Hugues wrote: > Bonjour > > Sur un s

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Hugues
Bonjour Sur un serveur centos 6.5 avec apache, il semble que le réglage SSLProtocol all -SSLv2 -SSLv3 soit commun a tous les serveurs virtuels du coup retour en arrière ce matin pour des webservices. j'ai essayé de l'appliquer pour chaque VirtualHost mais il ne prend pas en compte mes

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Olivier
Bonjour, Pour le support chez Mercanet (BNP), c'est en cours d'escalade chez eux ... ___ Liste de diffusion du FRsAG http://www.frsag.org/

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Mathieu Arnold
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit wrote: | Stats relevées auprès de différents partenaires : | - côté transitaires de paiements internet, <1% des transactions en SSLv3 | | Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 | bloque les confirmations de pai

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Mathieu Arnold
+--On 24 octobre 2014 10:02:23 +0200 Antoine Benoit wrote: |> c'est quelles banques ? |> | C'est pour BNP Paribas. Je me suis fait mordre par ça cet été quand, dans un accès de folie, je me suis dit que j'allais avoir un A+ chez ssllabs en virant SSLv* et plein d'autres trucs, après deux semaine

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Antoine Benoit
C'est pour BNP Paribas. > c'est quelles banques ? > > Hugues > Le 24/10/2014 09:39, Antoine Benoit a écrit : > > Stats relevées auprès de différents partenaires : > - côté transitaires de paiements internet, <1% des transactions en SSLv3 > > Par contre visiblement Mercanet ne fait pas de TLS, don

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Christophe
Elsynet non plus (HSBC) Le 24/10/2014 09:39, Antoine Benoit a écrit : Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution... ___ Liste de diffusion du FRsAG h

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Hugues
c'est quelles banques ? Hugues Le 24/10/2014 09:39, Antoine Benoit a écrit : Stats relevées auprès de différents partenaires : - côté transitaires de paiements internet, <1% des transactions en SSLv3 Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmatio

Re: [FRsAG] Faille dans le protocole SSLv3

2014-10-24 Par sujet Antoine Benoit
Stats relevées auprès de différents partenaires : - côté transitaires de paiements internet, <1% des transactions en SSLv3 Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3 bloque les confirmations de paiement quand on utilise leur solution... __