[grodétail]HTTPS

otyugh · 08-06-2018 18:20:10

Salut,
vous passez pas super bien le test de l'amis Aeris (https://cryptcheck.fr/https/debian-facile.org).
Apparemment c'est faute de l'utilisation des "DHE cipher". Ya une raison que j'ignore de garder ça ?

Il conseille sur son blog de garder que les ECDHE

https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html a écrit :

ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA

Après, moi et la crypto, hein. Je vois surtout que les "grands" du web font n'imp, donc ça doit pas être si crucial que ça - si on a un navigateur à jour. https://cryptcheck.fr/https/facebook.com x)

Philou92 · 08-06-2018 21:46:58

Pas expert mais avec un certificat qui a une validité de trois mois le risque de se faire usurper le nom de domaine est quand même limité.

nono47 · 09-06-2018 04:38:56

Salut,

Le site que tu dis, il ne donne pas envie d'utiliser Tor , d'après lui, il faut un avocat, se préparer à une garde à vue ...
Le réseau Tor a besoin de vous !

Responsabilité juridique a écrit :

Il n’empêche qu’en pratique, il existe un risque non nul de subir des désagréments oscillants de un peu génant à très fâcheux. Il est donc conseillé d’avoir à sa portée l’adresse d’un avocat, si possible spécialiste du domaine, afin de le contacter rapidement en cas de problème...

https://blog.imirhil.fr/2017/10/25/tor-decline.html
vive les crypto-rebelles !

note : c'est HS, mais ça m'a interpellé .

otyugh · 09-06-2018 07:11:25

Tu confonds utiliser tor et gérer un des "exit nods" de TOR ?
Bref, HS.

captnfab · 09-06-2018 08:56:33

Pas vraiment de raison de le garder non. Mais bon, malgré l'utilisation de DHE, ssllabs nous donnait un A+.
J'ai désactivé DHE, j'espère que ça ne manquera à personne

PS: je ne sais pas comment rafraîchir l'analyse sur son site (EDIT: ok, fallait juste attendre 1h).
PS2: malgré les faiblesses de DHE, pas vu d'article indiquant qu'il était dangereux de l'utiliser.

bendia · 09-06-2018 09:46:55

Nitot qu'on a rencontrer au JDLL nous a indiqué que le Mossieur qui bosse chez CozyCloud possède une qualité recherchée chez les adminSys : la paranoïa

otyugh · 09-06-2018 10:14:10

captnfab a écrit :

PS2: malgré les faiblesses de DHE, pas vu d'article indiquant qu'il était dangereux de l'utiliser.

Apparemment y a de la vulnérabilité : https://weakdh.org/ (après ça a l'air de s'appliquer que dans certains cas ? Je sais pas si ça nous concerne.)

Pourquoi sur sslabs vous avez le warning "Additionnal cert : Chain issues Incorrect order, Extra certs" ?

(sinon je m'aperçois à l'instant que limiter le set de suite de chiffrement permet de... D'exclure pas mal de configurations obsolètes/dangereuses. Par exemple mon serveur sur lequel j'ai autorisé que deux suite "récentes" Safari <9 ne peut pas se connecter, comme <IE11, <FF31.. - c'est pas mal ! Faudrait que je vois si y a moyen de rediriger vers une page "warning" plutôt que juste "handshack_failure" par contre).

RE gros détail

Strict Transport Security (HSTS) Yes
max-age=63072000; includeSubDomains; preload
HSTS Preloading Not in: Chrome Edge Firefox IE

Pour activer le "preloading" il faut inscrire le site ici : https://hstspreload.org
(cela dit y a plusieurs prérequis : faut avoir QUE des services en https sur ce domaine : le preload bloque tout autre accès)

Dernière modification par otyugh (09-06-2018 10:23:05)

captnfab · 10-06-2018 10:00:18

@otyugh: oui, c'est sûr que ce sont les signes avant-coureurs d'un cassage de DHE. Pour l'instant, il faut de trop gros moyens pour que ce soit exploitable par des « petits. » Alors bon, on peut chercher à se protéger des gros. Reste que le chiffrement et les connexions chiffrées d'aujourd'hui seront cassées par les algos de demains. Donc toutes les données que l'on envoie sur le net, il faut considérer que d'ici 10 ans, elles seront publiques.
Alors, la paranoïa, c'est bien. Mais faut pas croire non plus que parce qu'on est paranoïaques, on est à l'abri

Pour HSTS, j'ai retiré le « preload ». HSTS est un peu chiant. En particulier, ça empêche justement les navigateurs sans bon support de https mais avec support de htst de naviguer en http. Je ne sais pas trop que faire avec ça…

Pour ce qui est de l'ordre des certificats, c'était juste un détail de configuration, mais sans conséquence sur la sécurité… J'ai ve que ovh avait finalement implémenté CAA dans leur serveur DNS, je l'ai donc activé pour DF.

otyugh · 10-06-2018 10:58:38

captnfab a écrit :

. HSTS est un peu chiant. En particulier, ça empêche justement les navigateurs sans bon support de https mais avec support de htst de naviguer en http.

Je comprends le dilemne. Tu préfères permetre aux gens ayant des navigateurs *vraiment* pas à jour se connecter au site "sans protection" que de forcer le https.

Cela dit c'est vraiment abaisser le niveau de sécurité de tous au nom de probablement 1% des gens sous de vieux windows/apple - et du coup les autres avec un navigateur à jour risquent aussi de rester en mode "http" s'ils font pas gaffe.
...Après je comprends quand même bien que c'est un forum publique plus qu'un site bancaire (qui sont souvent encore plus laxistes sur leur suite de chiffrement )

captnfab · 10-06-2018 16:41:35

Ben, les en-têtes HSTS sont envoyées. Pour arriver sur le site en http, faut le faire exprès, et le site redirige pour un rien sur la version https. Mais fermer complètement la porte au http me semble un peu merdique. Interdire l'inscription ou la connexion en HTTP, ok. Interdire la lecture en HTTP… pourquoi ? Les gens qui veulent cacher leurs requêtes HTTP peuvent utiliser https.

Debian-facile

#1 08-06-2018 18:20:10

[grodétail]HTTPS

#2 08-06-2018 21:46:58

Re : [grodétail]HTTPS

#3 09-06-2018 04:38:56

Re : [grodétail]HTTPS

#4 09-06-2018 07:11:25

Re : [grodétail]HTTPS

#5 09-06-2018 08:56:33

Re : [grodétail]HTTPS

#6 09-06-2018 09:46:55

Re : [grodétail]HTTPS

#7 09-06-2018 10:14:10

Re : [grodétail]HTTPS

#8 10-06-2018 10:00:18

Re : [grodétail]HTTPS

#9 10-06-2018 10:58:38

Re : [grodétail]HTTPS

#10 10-06-2018 16:41:35

Re : [grodétail]HTTPS

Pied de page des forums