Pour être très précis, le RGPD est un règlement européen qui fait valeur de loi minimum mais il faut que chaque état le transcrive dans ses lois nationales. Les états peuvent simplement dire on l'applique strictement ou aller plus loin que le règlement. Dans le RGPD malheureusement il y a beaucoup de pays qui ont ajoutés des éléments. Lorsque l'on a regardé notre conformité, il ne fallait pas regarder que le droit français puisque l'on a des clients dans d'autres pays. Les avocats qu'on a fait travailler sur ce sujet ont donc analysé les lois de chaque pays (et certains ont tardé à les sortir France en tête) pour sortir toutes les spécificités supplémentaires.

C'est notamment là que l'on a vu qu'on devait avoir du TLS 1.2 pour le Danemark. De notre côté ça ne posait pas de souci on le gérait déjà mais du coup on l'a marqué dans les configs IaC pour tous les services vers Internet que cela ne pouvait être désactivé.

Ce qui fait qu'avec les configurations Postfix et Dovecot on fait un sacré grand écart. Les serveurs ou personnes à jour sont en TLS 1.3 et les autres on propose en mode best effort, au pire c'est leur communications privées qui sont exposées, on aura prévenu.

Et lorsque l'on a découvert tous ces petits arrangements dans chaque pays on a vitre compris pourquoi les non EU ont préféré pour certains ne plus permettre la connexion d'Européen sur leurs serveurs.


Le 03/04/2020 à 16:30, P. MARCHAND a écrit :
En essayant de rassembler tout ce qui a été échangé.

Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <frsag@frsag.org> a écrit :
Le Friday 03 April 2020 13:46:00 Wallace a écrit :
> C'est comme le RGPD qui a été renforcé dans certains états EU, les
> danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
> premiers mois du RGPD

Moui, il a bon dos le RGPD ...
Impressionnant la quantité de choses décidées unilatéralement sans aucune
obligation légale que certains essayent de faire passer au nom du RGPD ...

Ce point est intéressant, car la RGPD est une reglementation Européenne qui s'applique sur un espace sans limites de "frontières". Avec un peu de recul cela semble abérrant. Je comprends le besoin législatif à outrance, mais cela ne sert à personnes, et semble plutôt consituer une décharge de nombreuses responsabilité vers des acteurs hégémonique...
 
> tous les domaines d'Orange ne pouvait recevoir de
> mails venant de danois car leurs serveurs n'étaient pas compatible TLS
> 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a évolué.

Nope. Rien de changé.

in :

$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1
Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection
established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with cipher
DHE-RSA-AES256-SHA (256/256 bits)

out :

$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1
Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection
established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)

C'est orange hein, faut pas en demander trop ...

Ne pourrait-on pas les tacler législativement ?
En soit ne mettent-il pas en risque leurs usagers ?
............Allô la Quadra ?