@aeris Je vais y réfléchir. Mais est-ce vraiment nécessaire de supporter des vieilles versions d'Android quasiment plus utilisés, Firefox <27 ou IE <11 (XP/Vista ne sont plus maintenues par Microsoft et par de nombreux éditeurs de logiciels de toute manière...)

@aeris Tient, sinon, tant que j'y suis, je souhaitais activer CHACHA20-POLY1305. Il a été ajouté dans OpenSSL 1.1.0. Donc en théorie, avec mon OpenSSL 1.1.0f, ça devrait être bon?

Mon cipher suite (ECDHE:!SHA:!DSS:!PSK:!SRP:!3DES:!RC4:!DES:!IDEA:!RC2:!NULL) doit donc l'inclure, mais il n'est jamais proposé par le serveur. Une idée ?

Si besoin, j'utilise Apache 2.4.25 (Debian 9)

@zoddo Il est encore compilé avec libssl1.0.2, donc pas de support pour le moment. Le passage à 1.1.x est quand même assez violent, je ne pense pas qu’on le verra pour le moment sous Debian…

@zoddo Si tu veux du Chacha, go nginx 😃

@zoddo Ah si tient, sous buster ça arrive 😊

@aeris Ah, c'est Apache qui ne le supporte pas ? Je croyais que ça dépendait uniquement de la version d'OpenSSL 🤔

@zoddo Il faut que le binaire soit linké avec la bonne version de la bibliothèque.
En stable, elle est encore linké sur 1.0.2.

@zoddo Et en gros chez moi, tout ça en dépend

bind9* bind9-host* bind9utils* curl* dnsutils* isc-dhcp-client* libbind9-140* libcurl3* libcurl4-openssl-dev*
libdns-export162* libdns162* libio-socket-ssl-perl* libirs141* libisc-export160* libisc160* libisccc140*
libisccfg140* liblwres141* liblzo2-2* libnet-libidn-perl* libnet-ssleay-perl* libpkcs11-helper1* libssl1.0.2*
openssh-client* openssh-server* openssh-sftp-server* openvpn* perl-openssl-defaults* php7.0-curl* tcpdump*

@aeris Ok, je vois. On va attendre buster alors (j'ai pas envie de me taper une migration à nginx ni une recompilation manuelle d'Apache :P )