Hello @aeris
Que penses-tu de la configuration TLS proposé par https://mozilla.github.io/server-side-tls/ssl-config-generator/ ?
@zoddo En TLDR, la suite intermédiaire accepte des algos pétés (au pif 3DES). La suite moderne vire à l’inverse SHA-1, qui est encore trop nécessaire pour une bonne compatibilité…
Bref, NOPE.
@aeris Bof, concernant SHA-1, ça fait un moment que je l'ai désactivé sans problème particuliers.
Si on en croit sslabs ça me permet quand même de supporter au minimum Android 4.4.2, Chrome 49, Firefox 47, IE11 (Win7) ce que je trouve largement acceptable.
https://www.ssllabs.com/ssltest/analyze.html?d=zoddo.fr&s=62.210.12.33
À un moment, faut aussi arrêter de supporter des poubelles plus trouées que l’emmental (Win XP par exemple)...
@zoddo C’est quand même pas top niveau compat’
https://cryptcheck.fr/suite/EECDH+AES:!SHA1
@zoddo https://cryptcheck.fr/suite/EECDH+AES
Ça suffit largement en l’état, autant s’éviter des problèmes 😃
@aeris Tient, sinon, tant que j'y suis, je souhaitais activer CHACHA20-POLY1305. Il a été ajouté dans OpenSSL 1.1.0. Donc en théorie, avec mon OpenSSL 1.1.0f, ça devrait être bon?
Mon cipher suite (ECDHE:!SHA:!DSS:!PSK:!SRP:!3DES:!RC4:!DES:!IDEA:!RC2:!NULL) doit donc l'inclure, mais il n'est jamais proposé par le serveur. Une idée ?
Si besoin, j'utilise Apache 2.4.25 (Debian 9)
@zoddo Si tu veux du Chacha, go nginx 😃
@zoddo Ah si tient, sous buster ça arrive 😊
@aeris Ah, c'est Apache qui ne le supporte pas ? Je croyais que ça dépendait uniquement de la version d'OpenSSL 🤔
@zoddo Il faut que le binaire soit linké avec la bonne version de la bibliothèque.
En stable, elle est encore linké sur 1.0.2.
@zoddo Et en gros chez moi, tout ça en dépend
bind9* bind9-host* bind9utils* curl* dnsutils* isc-dhcp-client* libbind9-140* libcurl3* libcurl4-openssl-dev*
libdns-export162* libdns162* libio-socket-ssl-perl* libirs141* libisc-export160* libisc160* libisccc140*
libisccfg140* liblwres141* liblzo2-2* libnet-libidn-perl* libnet-ssleay-perl* libpkcs11-helper1* libssl1.0.2*
openssh-client* openssh-server* openssh-sftp-server* openvpn* perl-openssl-defaults* php7.0-curl* tcpdump*
@aeris Ok, je vois. On va attendre buster alors (j'ai pas envie de me taper une migration à nginx ni une recompilation manuelle d'Apache :P )
@zoddo Il est encore compilé avec libssl1.0.2, donc pas de support pour le moment. Le passage à 1.1.x est quand même assez violent, je ne pense pas qu’on le verra pour le moment sous Debian…