Le 17/12/2014 00:36, Jonathan Leroy a écrit :
Le 17 décembre 2014 00:07, Luc PIERRE lucp061@gmail.com a écrit :
Hello,
Salut,
l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il me semble que bloquer le chiffrement ne revient pas a bloquer le protocole et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le RC4_128 non ?
Oui, protocoles de sécurisation et algorithmes de chiffrement sont deux choses différentes. Aujourd'hui, il est conseillé de désactiver tous les protocoles < TLS 1.0 (dont SSLv3) et certains algos sensibles aux attaques comme RC4.
Un exemple de conf Nginx respectant les recommandations actuelles du Qualys SSL Labs (https://www.ssllabs.com/) :
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS; ssl_prefer_server_ciphers on;
Qualys propose aussi un test en ligne pour vérifier la confirmité d'un site : https://www.ssllabs.com/ssltest/index.html
Je rajouterai même un site qui récap bien les ciphers et autres confs a utiliser