J’ai tenté https://imirhil.fr/tls/banks.html avec l’aide de #Chaton
Pouvez-vous me dire ce que vous en pensez ? 😊 cc @schaptal
(Et du coup, je retire ce que j’ai dis à #Chaton ce matin. Ça a pris tout sauf « juste 10 minutes » 😂)
@aeris : Moyen de mettre des liens ou des explications des abréviations pour savoir ce qui correspond à quoi (TLS ça va, mais DHE, PFS, AEAD, je ne sais pas à quoi ça correspond).
@talone J’vais faire ça un peu ce soir. Là j’ai pas eu le temps.
@aeris : Note : je n'avais pas vu les explications en bas de page, peut-être les rendre plus visibles ?
@aeris : Et pourquoi connect.axa.fr a un grade moins bon que app.n26.com alors que tout est vert sur les deux ?
@talone Axa n’a pas un HSTS suffisamment long au sens de la RFC.
@talone Zou, vala, quelques liens d’ajoutés déjà 😊
@aeris : Merci pour les liens. Le score n'est pas le même que sur le cryptcheck, donc ?
@talone Si, c’est le même que Cryptcheck, mais en v2.
@aeris : Et CryptCheck est un outil génial. Moi qui ne suis pas un pro du chiffrement, je me rend compte que des modifications très simple de la configuration peuvent augmenter grandement la sécurité. Et que les options par défaut de Let's Encrypt ne sont pas spécialement optimales (support de TLS 1.0, notamment).
Vu pour CryptCheck ; la v2 n'est pas encore en ligne, je suppose ?
@talone Sisi, ici : https://cryptcheck.fr/
Spoiler : spa encore complètement stable, ça casse régulièrement sur certains sites.
@aeris : Aïe, c'est sacrément strict, un site qui passe A sur la V1 se retrouve E sur la V2...
@aeris : Je crois que c'est parce que je supporte "DHE-RSA-*".
@talone Quel domaine ?
@aeris
Super chouette ! Si je peux me faire mettre une remarque ( ) j'axerais plus le code couleur / icône sur : la valeur qu'il faudrait avoir (en en-tête) par rapport à la valeur qu'à le domaine. On voit que l'en-tête de tls 1.0 est rouge, est n26 est vert ce qui est 'misleading' D'APRÈS MOI !
@aeris
Suggestion1 : barrer en rouge la case (ou le mot) TLS 1.0, et faire de même sur les banques qui le font également. Pour celles qui l'implémentent, l'écrire en rouge, sans le barrer pour accentuer le fait que : A) c'est toujours actif (non barré) et B) c'est en rouge == c'est maaaal.
@aeris
Suggestion 2: changer l'en-tête en "N' implemente pas TLS 1.0*", et mettre les valeurs en vert (oui, ce n'est pas implémenté) ou rouge (c'est toujours implémenté !).
* optionnel (en petit character, lien, title ou 'info bulle') : ce n'est plus utilisé / faillible depuis xxxx.
Sinon : chapeaux les chatons !
@Nono C’est un véritable merdier cette signalétique…
TLSv1.0 est déprécié (donc rouge), et donc il ne faut *pas* le supporter (donc vert)… C’est d’un merdier sans nom…
@aeris dans l'idée : https://framapic.org/lM7rfTskUMPI/YWqyd7Tf7tey.png
@Nono Double négation, je ne suis clairement pas fan…
@Nono « Ne supporte pas TLSv1.0 », tu t’attends du coup à ce que ce soit supporter… On a le problème dans l’autre sens du coup.
(Vu que plus personne ne supporte du 3DES, j’ai viré la colonne du coup…)