Le 19 mars 2019 07:53:50 GMT+01:00, Luc Didry <luc@didry.org> a écrit :

mardi 19 mars 2019, 00:28:08 CET Breizh wrote:
 Bonjour,
 
 T'as linké l'outil d'Aeris, je te link son article :
 https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
 
 D'après Aeris lui-même, les recommandations de l'article sont toujours
 d'actualité.
 
 Personnellement, ça donne ECDHE+CHACHA20:ECDHE+AESGCM en HTTPS
 (HAProxy) et ECDHE+CHACHA20:ECDHE+AES en SMTP (Postfix). Le seconde
 est celle « recommandée » (enfin, ECDHE+AES suffit, mais autant
 supporter mieux). Elle supporte quasiment tout, tout en étant
 totalement sécurisée. Après si tu veux de l'IE sur XP, faudra ajouter
 le support de quelques trucs plus anciens, à la main à partir de la
 liste de ciphers que tu as donnée de préférence. Ou réfléchir pour s'en
 débarrasser rapidement.
 
 Breizh.

Vu que ça cause Cryptcheck, je me permets d’évoquer l'outil que j'ai
fait avec un collègue pour générer un dashboard des notes cryptcheck
de nos sites :
https://framagit.org/framasoft/cryptcheck-dashboard/

C'est à utiliser dans GitlabCI et ça pousse dans des Gitlab pages,
mais ça serait pas très compliqué à modifier pour un autre setup.

Ça vérifie aussi la présence des enregistrements A et AAAA des
domaines testés (vu que chez Framasoft, on est tout en double stack
IPv4/IPv6, le seul truc qui pouvait empêcher l'usage d'IPv6, c'était
l'oubli du AAAA).

Vous pouvez voir le résultat sur
https://framasoft.frama.io/cryptcheck-dashboard/. On n'est pas à 100%
de A+ à cause :
- du démon gitlab pages qui permet pas de changer les protocoles, les
  ciphers et d'ajouter un en-tête HSTS
- de loomio, qu'on utilise à partir de docker et qui veut pas changer
  les protocoles et ciphers malgré mes efforts.