Hello,

Généralement, à taf-1 on avait 2 cas :
- Système sécurisé pour administrations => Préco de l'ANSSI/BSI => pas le choix on applique la CS donnée par l'autorité.
- Grand public => on désactive les protocoles les plus pourris (SSLv* et TLSv1 voire interdire aussi le TLSv1.1 si on fait du SNI), ensuite on désactive les algos évidents (!eNULL, !aNULL, !LOW, !SHA). Ensuite on recroise avec les précos officielles et les navigateurs supportés.

Pour du IE6, tu dois obligatoirement garder le TLSv1.0, les OS ne supportant que TLSv1.0 dans les version supportant IE6.

Si tu utilises un reverse proxy devant tu vas peut être devoir jouer avec les directives pour affaiblir les CS et protocoles possibles vers ton serveur derrière. Par exemple si ton serveur est en SSLv3 et que ton RP est un httpd >2.4.16, le SSLv3 est désactivé par défaut, il va falloir le réactiver.

Jonathan


Le mar. 19 mars 2019 à 11:43, Jérôme BERTHIER via FRsAG <frsag@frsag.org> a écrit :
Bonjour,

Le 19/03/2019 à 00:10, Bruno Pagani a écrit :
> Vaut-il mieux lister toutes les ciphers acceptés et refusés (comme le fait
> le lien ci-dessus) ou à l'inverse lister le "max" de ce qu'on veut et
> dégager tout ce que l'on veut explicitement refuser  (!null, !rc4, ....)
> tout en laissant les options par défaut d'openssl décider de ce qu'il est
> bon de faire.

Plutôt ça effectivement, ce qui donne à ce jour :

HIGH:!ADH:!AECDH:!MD5:!SHA:!RC4:!3DES

Cdt,

--
Jérôme BERTHIER

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


--
bartoua est votre ami