Vous n'êtes pas identifié(e).
Pages : 1
ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA
Après, moi et la crypto, hein. Je vois surtout que les "grands" du web font n'imp, donc ça doit pas être si crucial que ça - si on a un navigateur à jour. https://cryptcheck.fr/https/facebook.com x)
Hors ligne
Tousse antique Ovide !
Hors ligne
Il n’empêche qu’en pratique, il existe un risque non nul de subir des désagréments oscillants de un peu génant à très fâcheux. Il est donc conseillé d’avoir à sa portée l’adresse d’un avocat, si possible spécialiste du domaine, afin de le contacter rapidement en cas de problème...
https://blog.imirhil.fr/2017/10/25/tor-decline.html
vive les crypto-rebelles !
note : c'est HS, mais ça m'a interpellé .
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
Hors ligne
PS2: malgré les faiblesses de DHE, pas vu d'article indiquant qu'il était dangereux de l'utiliser.
Apparemment y a de la vulnérabilité : https://weakdh.org/ (après ça a l'air de s'appliquer que dans certains cas ? Je sais pas si ça nous concerne.)
Pourquoi sur sslabs vous avez le warning "Additionnal cert : Chain issues Incorrect order, Extra certs" ?
(sinon je m'aperçois à l'instant que limiter le set de suite de chiffrement permet de... D'exclure pas mal de configurations obsolètes/dangereuses. Par exemple mon serveur sur lequel j'ai autorisé que deux suite "récentes" Safari <9 ne peut pas se connecter, comme <IE11, <FF31.. - c'est pas mal ! Faudrait que je vois si y a moyen de rediriger vers une page "warning" plutôt que juste "handshack_failure" par contre).
RE gros détail
Strict Transport Security (HSTS) Yes
max-age=63072000; includeSubDomains; preload
HSTS Preloading Not in: Chrome Edge Firefox IE
Pour activer le "preloading" il faut inscrire le site ici : https://hstspreload.org
(cela dit y a plusieurs prérequis : faut avoir QUE des services en https sur ce domaine : le preload bloque tout autre accès)
Dernière modification par otyugh (09-06-2018 10:23:05)
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
. HSTS est un peu chiant. En particulier, ça empêche justement les navigateurs sans bon support de https mais avec support de htst de naviguer en http.
Je comprends le dilemne. Tu préfères permetre aux gens ayant des navigateurs *vraiment* pas à jour se connecter au site "sans protection" que de forcer le https.
Cela dit c'est vraiment abaisser le niveau de sécurité de tous au nom de probablement 1% des gens sous de vieux windows/apple - et du coup les autres avec un navigateur à jour risquent aussi de rester en mode "http" s'ils font pas gaffe.
...Après je comprends quand même bien que c'est un forum publique plus qu'un site bancaire (qui sont souvent encore plus laxistes sur leur suite de chiffrement )
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Pages : 1