Hello @aeris
Que penses-tu de la configuration TLS proposé par https://mozilla.github.io/server-side-tls/ssl-config-generator/ ?
@zoddo En TLDR, la suite intermédiaire accepte des algos pétés (au pif 3DES). La suite moderne vire à l’inverse SHA-1, qui est encore trop nécessaire pour une bonne compatibilité…
Bref, NOPE.
@zoddo C’est quand même pas top niveau compat’
https://cryptcheck.fr/suite/EECDH+AES:!SHA1
@aeris Je vais y réfléchir. Mais est-ce vraiment nécessaire de supporter des vieilles versions d'Android quasiment plus utilisés, Firefox <27 ou IE <11 (XP/Vista ne sont plus maintenues par Microsoft et par de nombreux éditeurs de logiciels de toute manière...)
@aeris Tient, sinon, tant que j'y suis, je souhaitais activer CHACHA20-POLY1305. Il a été ajouté dans OpenSSL 1.1.0. Donc en théorie, avec mon OpenSSL 1.1.0f, ça devrait être bon?
Mon cipher suite (ECDHE:!SHA:!DSS:!PSK:!SRP:!3DES:!RC4:!DES:!IDEA:!RC2:!NULL) doit donc l'inclure, mais il n'est jamais proposé par le serveur. Une idée ?
Si besoin, j'utilise Apache 2.4.25 (Debian 9)
@zoddo Il est encore compilé avec libssl1.0.2, donc pas de support pour le moment. Le passage à 1.1.x est quand même assez violent, je ne pense pas qu’on le verra pour le moment sous Debian…
@zoddo Si tu veux du Chacha, go nginx 😃
@zoddo Ah si tient, sous buster ça arrive 😊
@aeris Ah, c'est Apache qui ne le supporte pas ? Je croyais que ça dépendait uniquement de la version d'OpenSSL 🤔
@zoddo Il faut que le binaire soit linké avec la bonne version de la bibliothèque.
En stable, elle est encore linké sur 1.0.2.
@zoddo Et en gros chez moi, tout ça en dépend
bind9* bind9-host* bind9utils* curl* dnsutils* isc-dhcp-client* libbind9-140* libcurl3* libcurl4-openssl-dev*
libdns-export162* libdns162* libio-socket-ssl-perl* libirs141* libisc-export160* libisc160* libisccc140*
libisccfg140* liblwres141* liblzo2-2* libnet-libidn-perl* libnet-ssleay-perl* libpkcs11-helper1* libssl1.0.2*
openssh-client* openssh-server* openssh-sftp-server* openvpn* perl-openssl-defaults* php7.0-curl* tcpdump*
@aeris Ok, je vois. On va attendre buster alors (j'ai pas envie de me taper une migration à nginx ni une recompilation manuelle d'Apache :P )
@zoddo https://cryptcheck.fr/suite/EECDH+AES
Ça suffit largement en l’état, autant s’éviter des problèmes 😃