logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-06-2018 18:20:10

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

[grodétail]HTTPS

Salut,
vous passez pas super bien le test de l'amis Aeris (https://cryptcheck.fr/https/debian-facile.org).
Apparemment c'est faute de l'utilisation des "DHE cipher". Ya une raison que j'ignore de garder ça ?

Il conseille sur son blog de garder que les ECDHE

https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html a écrit :

ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA



Après, moi et la crypto, hein. Je vois surtout que les "grands" du web font n'imp, donc ça doit pas être si crucial que ça - si on a un navigateur à jour. https://cryptcheck.fr/https/facebook.com x)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#2 08-06-2018 21:46:58

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-21-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : [grodétail]HTTPS

Pas expert mais avec un certificat qui a une validité de trois mois le risque de se faire usurper le nom de domaine est quand même limité.

Tousse antique Ovide !

Hors ligne

#3 09-06-2018 04:38:56

nono47
Invité

Re : [grodétail]HTTPS

Salut,

Le site que tu dis, il ne donne pas envie d'utiliser Tor , d'après lui, il faut un avocat, se préparer à une garde à vue ...
Le réseau Tor a besoin de vous !

Responsabilité juridique a écrit :

Il n’empêche qu’en pratique, il existe un risque non nul de subir des désagréments oscillants de un peu génant à très fâcheux. Il est donc conseillé d’avoir à sa portée l’adresse d’un avocat, si possible spécialiste du domaine, afin de le contacter rapidement en cas de problème...


https://blog.imirhil.fr/2017/10/25/tor-decline.html
sos.gif vive les crypto-rebelles !

note : c'est HS, mais ça m'a interpellé . hmm

#4 09-06-2018 07:11:25

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [grodétail]HTTPS

Tu confonds utiliser tor et gérer un des "exit nods" de TOR ?
Bref, HS.

virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#5 09-06-2018 08:56:33

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : [grodétail]HTTPS

Pas vraiment de raison de le garder non. Mais bon, malgré l'utilisation de DHE, ssllabs nous donnait un A+.
J'ai désactivé DHE, j'espère que ça ne manquera à personne smile
PS: je ne sais pas comment rafraîchir l'analyse sur son site (EDIT: ok, fallait juste attendre 1h).
PS2: malgré les faiblesses de DHE, pas vu d'article indiquant qu'il était dangereux de l'utiliser.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 09-06-2018 09:46:55

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : [grodétail]HTTPS

Nitot qu'on a rencontrer au JDLL nous a indiqué que le Mossieur qui bosse chez CozyCloud possède une qualité recherchée chez les adminSys : la paranoïa big_smile

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

En ligne

#7 09-06-2018 10:14:10

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [grodétail]HTTPS

captnfab a écrit :

PS2: malgré les faiblesses de DHE, pas vu d'article indiquant qu'il était dangereux de l'utiliser.


Apparemment y a de la vulnérabilité : https://weakdh.org/ (après ça a l'air de s'appliquer que dans certains cas ? Je sais pas si ça nous concerne.)

Pourquoi sur sslabs vous avez le warning "Additionnal cert : Chain issues    Incorrect order, Extra certs" ?

(sinon je m'aperçois à l'instant que limiter le set de suite de chiffrement permet de... D'exclure pas mal de configurations obsolètes/dangereuses. Par exemple mon serveur sur lequel j'ai autorisé que deux suite "récentes" Safari <9 ne peut pas se connecter, comme <IE11, <FF31.. - c'est pas mal ! Faudrait que je vois si y a moyen de rediriger vers une page "warning" plutôt que juste "handshack_failure" par contre).


RE gros détail

Strict Transport Security (HSTS)    Yes
max-age=63072000; includeSubDomains; preload
HSTS Preloading    Not in: Chrome  Edge  Firefox  IE


Pour activer le "preloading" il faut inscrire le site ici : https://hstspreload.org
(cela dit y a plusieurs prérequis : faut avoir QUE des services en https sur ce domaine : le preload bloque tout autre accès)

Dernière modification par otyugh (09-06-2018 10:23:05)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#8 10-06-2018 10:00:18

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : [grodétail]HTTPS

@otyugh: oui, c'est sûr que ce sont les signes avant-coureurs d'un cassage de DHE. Pour l'instant, il faut de trop gros moyens pour que ce soit exploitable par des « petits. » Alors bon, on peut chercher à se protéger des gros. Reste que le chiffrement et les connexions chiffrées d'aujourd'hui seront cassées par les algos de demains. Donc toutes les données que l'on envoie sur le net, il faut considérer que d'ici 10 ans, elles seront publiques.
Alors, la paranoïa, c'est bien. Mais faut pas croire non plus que parce qu'on est paranoïaques, on est à l'abri big_smile

Pour HSTS, j'ai retiré le « preload ». HSTS est un peu chiant. En particulier, ça empêche justement les navigateurs sans bon support de https mais avec support de htst de naviguer en http. Je ne sais pas trop que faire avec ça…

Pour ce qui est de l'ordre des certificats, c'était juste un détail de configuration, mais sans conséquence sur la sécurité… J'ai ve que ovh avait finalement implémenté CAA dans leur serveur DNS, je l'ai donc activé pour DF.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 10-06-2018 10:58:38

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [grodétail]HTTPS

captnfab a écrit :

. HSTS est un peu chiant. En particulier, ça empêche justement les navigateurs sans bon support de https mais avec support de htst de naviguer en http.


Je comprends le dilemne. Tu préfères permetre aux gens ayant des navigateurs *vraiment* pas à jour se connecter au site "sans protection" que de forcer le https.

Cela dit c'est vraiment abaisser le niveau de sécurité de tous au nom de probablement 1% des gens sous de vieux windows/apple - et du coup les autres avec un navigateur à jour risquent aussi de rester en mode "http" s'ils font pas gaffe.
...Après je comprends quand même bien que c'est un forum publique plus qu'un site bancaire (qui sont souvent encore plus laxistes sur leur suite de chiffrement tongue)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#10 10-06-2018 16:41:35

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : [grodétail]HTTPS

Ben, les en-têtes HSTS sont envoyées. Pour arriver sur le site en http, faut le faire exprès, et le site redirige pour un rien sur la version https. Mais fermer complètement la porte au http me semble un peu merdique. Interdire l'inscription ou la connexion en HTTP, ok. Interdire la lecture en HTTP… pourquoi ? Les gens qui veulent cacher leurs requêtes HTTP peuvent utiliser https.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

Pied de page des forums