En essayant de rassembler tout ce qui a été échangé.
Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <
frsag@frsag.org> a écrit :
Le Friday 03 April 2020 13:46:00 Wallace a écrit :
> C'est comme le RGPD qui a été renforcé dans certains états EU, les
> danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
> premiers mois du RGPD
Moui, il a bon dos le RGPD ...
Impressionnant la quantité de choses décidées unilatéralement sans aucune
obligation légale que certains essayent de faire passer au nom du RGPD ...
Ce
point est intéressant, car la RGPD est une reglementation Européenne
qui s'applique sur un espace sans limites de "frontières". Avec un peu
de recul cela semble abérrant. Je comprends le besoin législatif à
outrance, mais cela ne sert à personnes, et semble plutôt consituer une
décharge de nombreuses responsabilité vers des acteurs hégémonique...
> tous les domaines d'Orange ne pouvait recevoir de
> mails venant de danois car leurs serveurs n'étaient pas compatible TLS
> 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a évolué.
Nope. Rien de changé.
in :
$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1
Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection
established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with cipher
DHE-RSA-AES256-SHA (256/256 bits)
out :
$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1
Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection
established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)
C'est orange hein, faut pas en demander trop ...
Ne pourrait-on pas les tacler législativement ?
En soit ne mettent-il pas en risque leurs usagers ?
............Allô la Quadra ?
C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS
: un beau jour Google, Yahoo! et Microsoft vont décréter que leurs
serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS
valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la
planète seront mis à jour.
Ces acteurs font la loi ? Ca me dégoute.
C'est tout le problème d'Internet : des réseaux indépendants à
gouvernance variable qui font au mieux pour discuter à peu près
correctement avec à peu près tout le monde.
Au
départ, nous étions d'accord sur le TCP/IP, maintenant chacun fait en
fait qu'a sa tête (Il ya 13 standards, attend j'ai une idée => Il y a
14 standards)
Le protocole SSLv3 est officiellement déprécié, il est en principe interdit de
l'utiliser. Tu es en droit de le virer de ton côté.
Etrangement
sur ce point, tout le monde semble avoir honnis le SSLv3, ce qui montre
qu'il y a bien un consensus à minima pour s'accorder sur des standards.
Et ce n'est pas Wanadoo qui essaie de te contacter, mais une adresse
assignée à un abonnement Wanadoo. Peut-être quelqu'un qui s'auto-héberge
(particulier ou entreprise), peut-être quelqu'un qui scanne, peut-être
un robot malveillant
Oui, c'était bien un scan; fausse alerte.
Oui il y a des algo obsolètes et vulnérables, et des tests en ligne (comme
internet.nl) vont râler, mais c'est toujours mieux (IMHO et celle d'autres
personnes comme les dévs de postfix) que le repli vers le texte clair ...
Je veux bien la source de tes propos sur les devs de Postfix pour enrichir mes connaissances.
Pardon pour la mauvaise info, merci pour l'enrichissement ;)
je croyais que coupler au chiffrement opportuniste (starttls) cela permettait d'éviter le transfert non chiffré.
Ces recommandations sont faites pour le web ou les clients tls (les
navigateurs) sont mis a jour régulièrement.
Pour le mail, c'est beaucoup plus lent, voir même fossilisé. Dans certains
cas, il faut même attendre que le boitier utm/sécurité/antivirus/antispam
jamais mis a jour (et pas forcément a cause de l'utilisateur) tombe en panne
pour qu'il soit remplacé
C'est
vrai, je n'y avais pas pensé à ce décalage entre le "oueb" et le mail,
par contre en jetant un oeil à la RFC du TLS 1.1 (pour l'exemple)
This document specifies Version 1.1 of the Transport Layer Security
(TLS) protocol. The TLS protocol provides communications security
over the Internet. The protocol allows client/server applications to
communicate in a way that is designed to prevent eavesdropping,
tampering, or message forgery.
Il est nullement question d'une segmentation Web/Mail...
Bref, merci à tous pour vos retour.
Ce que je conclus c'est :
- disposez de sa boîte mail comme de sa boîte aux lettre semble compliqué.
- Il est difficile de s'acorder ensemble sur les protocoles à tenir pour dialoguer
- Il semble qu'il y ait une dichotomie entre les reglementations et les
RFC. Là où les premiers sont limité géographiquement, le second est
global (sans frontières)
Bonne journée, bon hardening, bons updates (oui, Haproxy et sa CVE cette nuit),
exit 0