Bonjour à tous,
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver
SSLv3 bloque les confirmations de paiement quand on utilise leur solution...
Sur la solution Mercanet, mon contact me dit que le support de TLS sera
mis en
De notre côté, lors de notre demande la semaine dernière, on avait eu comme
date prévue de mise à jour le 30/10. A suivre donc.
Antoine
Le 29 octobre 2014 09:45, Olivier webmas...@ajeux.com a écrit :
Bonjour à tous,
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement
le module de paiment online d'Atos (enfin surtout le retour qui est
passé au site marchand) ne supportait pas TLS v1.X.
Et a priori la cause serait que leur curl (puisque c'est dans le sens
retour validation de la transaction Atos - site e-commerce) aurait été
compilé avec un openssl qui
S'il s'agit bien de SIPS, a priori, ça a déjà été corrigé, car un de nos
sites utilise SIPS, et on a continué à recevoir des retours automatiques
sans problème quand on a désactivé le SSL.
Le 27 octobre 2014 12:17, Pierre DOLIDON sn...@sn4ky.net a écrit :
le module de paiment online d'Atos
Atos Worldline également...
la faute à un curl pas compilé ya 10 ans avec un vieux openssl super
la sécurité des espaces de transactions bancaires !!!
Le 24/10/2014 09:46, Christophe a écrit :
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement
pas compris, tu peux détailler ?
Le 26 octobre 2014 16:38, Pierre `Sn4kY` DOLIDON sn...@sn4ky.net a écrit :
Atos Worldline également...
la faute à un curl pas compilé ya 10 ans avec un vieux openssl super
la sécurité des espaces de transactions bancaires !!!
Le 24/10/2014 09:46,
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3
bloque les confirmations de paiement quand on utilise leur solution...
c'est quelles banques ?
Hugues
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver
SSLv3 bloque les
Elsynet non plus (HSBC)
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver
SSLv3 bloque les confirmations de paiement quand on utilise leur
solution...
___
Liste de diffusion du FRsAG
C'est pour BNP Paribas.
c'est quelles banques ?
Hugues
Le 24/10/2014 09:39, Antoine Benoit a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en SSLv3
Par contre visiblement Mercanet ne fait pas de TLS, donc
+--On 24 octobre 2014 10:02:23 +0200 Antoine Benoit
antoine.ben...@gmail.com wrote:
| c'est quelles banques ?
|
| C'est pour BNP Paribas.
Je me suis fait mordre par ça cet été quand, dans un accès de folie, je
me suis dit que j'allais avoir un A+ chez ssllabs en virant SSLv* et plein
d'autres
+--On 24 octobre 2014 09:39:34 +0200 Antoine Benoit
antoine.ben...@gmail.com wrote:
| Stats relevées auprès de différents partenaires :
| - côté transitaires de paiements internet, 1% des transactions en SSLv3
|
| Par contre visiblement Mercanet ne fait pas de TLS, donc désactiver SSLv3
| bloque
Bonjour,
Pour le support chez Mercanet (BNP), c'est en cours d'escalade chez eux ...
___
Liste de diffusion du FRsAG
http://www.frsag.org/
Bonjour
Sur un serveur centos 6.5 avec apache, il semble que le réglage
SSLProtocol all -SSLv2 -SSLv3 soit commun a tous les serveurs virtuels
du coup retour en arrière ce matin pour des webservices.
j'ai essayé de l'appliquer pour chaque VirtualHost mais il ne prend pas
en compte
Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté
La seule exception à ma connaissance est SNI, qui permet de donner une
indication du nom cible
Je doute qu'il existe un mécanisme de ce genre pour la version du protocole
On 24/10/2014 11:52, Hugues wrote:
Bonjour
Sur un
Sur apache2.4 la configuration par vhost fonctionne très bien.
Le 24/10/2014 12:00, fr...@jack.fr.eu.org a écrit :
Hum, les vhosts arrivent *après* que le tunnel ssl/tls soit monté
La seule exception à ma connaissance est SNI, qui permet de donner une
indication du nom cible
Je doute qu'il
Le 20/10/2014 1:20, Stephane Martin a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en
SSLv3
- côté téléservices administration, en gros 3%.
Ca m'étonne pas... :)
La masse des connexions en SSLv3 vient d’IE6 sous XP
Hello,
La situation sur ce front n'est pas simple : couper SSLv3 c'est fermer la
porte
à des clients (les décideurs vont pas aimer), et le laisser en vie c'est
compromettre la sécurité de tous les autres clients... Les équipes techniques
ont-elles le pouvoir de pousser une telle décision ?
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en SSLv3
- côté téléservices administration, en gros 3%.
La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en Oracle
Java 6. A partir de XP SP3 on peut faire du TLS
Bonjour à toutes et tous,
On Wed, 15 Oct 2014 09:20:57 +0200
Pierre Schweitzer pie...@reactos.org wrote:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est
important de noter que c'est une faille dans le
Bonjour,
Le 18/10/2014 10:07, Maxime DERCHE a écrit :
La situation sur ce front n'est pas simple : couper SSLv3 c'est fermer la
porte
à des clients (les décideurs vont pas aimer)
Vu du côté du verre à moitié plein, c'est aussi protéger les clients et
avec une bonne communication, ça se vend.
Wallace wall...@morkitu.org writes:
Le 16/10/2014 14:59, Pierre Schweitzer a écrit :
Sinon : https://wiki.mozilla.org/Security/Server_Side_TLS
A noter que pour Mozilla le TLS 1.0 est aussi à désactiver, va falloir
que je recherche pourquoi.
Mais qu'à l'inverse ils conseillent de mettre des
Bonjour,
Il faut désactiver surtout le SSL toute version du côté des serveurs.
Ce n'est pas pour les quelques personnes qui utilisent encore un IE6 non
mis à jour sur XP que l'on va mettre en danger tout ceux qui ont des
navigateurs récents.
Normalement rien qu'avec le choix d'algorithmes
Bonjour,
Pour compléter Wallace, je me permets de linker le site de microsoft :
https://www.modern.ie/en-us/ie6countdown
On voit que IE6 en france est à 0.8% …
Le Thursday 16 Oct 2014 à 11:25:07 (+0200), Wallace a écrit :
Bonjour,
Il faut désactiver surtout le SSL toute version du côté des
Ciao
En lisant en diagonale la CVE associée, je suis tombé sur :
https://cipherli.st/
C'est sympa pour avoir une configuration recommandée fonctionnelle.
Km
___
Liste de diffusion du FRsAG
http://www.frsag.org/
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Sinon : https://wiki.mozilla.org/Security/Server_Side_TLS
On 10/16/2014 02:40 PM, cam.la...@azerttyu.net wrote:
Ciao
En lisant en diagonale la CVE associée, je suis tombé sur :
https://cipherli.st/
C'est sympa pour avoir une configuration
Le 16 oct. - 14:40, cam.la...@azerttyu.net a écrit :
Ciao
En lisant en diagonale la CVE associée, je suis tombé sur :
https://cipherli.st/
C'est sympa pour avoir une configuration recommandée fonctionnelle.
Km
Il y a également : https://github.com/jvehent/cipherscan
Analyze.py permet
Le 16-10-2014 15:13, Julien Rabier a écrit :
https://cipherli.st/
Il y a également : https://github.com/jvehent/cipherscan
Analyze.py permet de comparer sa configuration avec les recommandations
de
Mozilla.
Et pour valider le tout, le classique:
https://www.ssllabs.com/ssltest/
A noter
Le 16/10/2014 14:59, Pierre Schweitzer a écrit :
Sinon : https://wiki.mozilla.org/Security/Server_Side_TLS
A noter que pour Mozilla le TLS 1.0 est aussi à désactiver, va falloir
que je recherche pourquoi.
Mais qu'à l'inverse ils conseillent de mettre des algos en AES128 alors
qu'on admet qu'ils
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 10/16/2014 04:07 PM, Wallace wrote:
Le 16/10/2014 14:59, Pierre Schweitzer a écrit :
Sinon : https://wiki.mozilla.org/Security/Server_Side_TLS
A noter que pour Mozilla le TLS 1.0 est aussi à désactiver, va
falloir que je recherche pourquoi.
Personne ne parle de bettecrypto ?
https://bettercrypto.org/
Ils éditent un pdf sur les bestpratices en crypto pour différents
services (même IIS ! (merde il est pas encore minuit)).
Le pdf en question :
https://bettercrypto.org/static/applied-crypto-hardening.pdf
Sinon oui la doc de chez
Personne ne parle de bettercrypto ?
https://bettercrypto.org/
Ils éditent un pdf sur les bestpratices en crypto pour différents
services (même IIS ! (trolldi))
Le pdf en question :
https://bettercrypto.org/static/applied-crypto-hardening.pdf
Sinon oui la doc de chez Mozilla est pas mal du tout
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est
important de noter que c'est une faille dans le protocole et non dans
une implémentation du protocole.
Les détails sont dévoilés ici :
33 matches
Mail list logo