[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

Wallace wallace at morkitu.org
Dim 5 Avr 10:06:52 CEST 2020


Pour être très précis, le RGPD est un règlement européen qui fait valeur
de loi minimum mais il faut que chaque état le transcrive dans ses lois
nationales. Les états peuvent simplement dire on l'applique strictement
ou aller plus loin que le règlement. Dans le RGPD malheureusement il y a
beaucoup de pays qui ont ajoutés des éléments. Lorsque l'on a regardé
notre conformité, il ne fallait pas regarder que le droit français
puisque l'on a des clients dans d'autres pays. Les avocats qu'on a fait
travailler sur ce sujet ont donc analysé les lois de chaque pays (et
certains ont tardé à les sortir France en tête) pour sortir toutes les
spécificités supplémentaires.

C'est notamment là que l'on a vu qu'on devait avoir du TLS 1.2 pour le
Danemark. De notre côté ça ne posait pas de souci on le gérait déjà mais
du coup on l'a marqué dans les configs IaC pour tous les services vers
Internet que cela ne pouvait être désactivé.

Ce qui fait qu'avec les configurations Postfix et Dovecot on fait un
sacré grand écart. Les serveurs ou personnes à jour sont en TLS 1.3 et
les autres on propose en mode best effort, au pire c'est leur
communications privées qui sont exposées, on aura prévenu.

Et lorsque l'on a découvert tous ces petits arrangements dans chaque
pays on a vitre compris pourquoi les non EU ont préféré pour certains ne
plus permettre la connexion d'Européen sur leurs serveurs.


Le 03/04/2020 à 16:30, P. MARCHAND a écrit :
> En essayant de rassembler tout ce qui a été échangé.
>
> Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG
> <frsag at frsag.org <mailto:frsag at frsag.org>> a écrit :
>
>     Le Friday 03 April 2020 13:46:00 Wallace a écrit :
>     > C'est comme le RGPD qui a été renforcé dans certains états EU, les
>     > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
>     > premiers mois du RGPD
>
>     Moui, il a bon dos le RGPD ...
>     Impressionnant la quantité de choses décidées unilatéralement sans
>     aucune
>     obligation légale que certains essayent de faire passer au nom du
>     RGPD ...
>
>
> Ce point est intéressant, car la RGPD est une reglementation
> Européenne qui s'applique sur un espace sans limites de "frontières".
> Avec un peu de recul cela semble abérrant. Je comprends le besoin
> législatif à outrance, mais cela ne sert à personnes, et semble plutôt
> consituer une décharge de nombreuses responsabilité vers des acteurs
> hégémonique...
>  
>
>     > tous les domaines d'Orange ne pouvait recevoir de
>     > mails venant de danois car leurs serveurs n'étaient pas
>     compatible TLS
>     > 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que
>     Orange a évolué.
>
>     Nope. Rien de changé.
>
>     in :
>
>     $ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1
>     Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection
>     established from smtp08.smtpout.orange.fr
>     <http://smtp08.smtpout.orange.fr>[80.12.242.130]: TLSv1 with cipher
>     DHE-RSA-AES256-SHA (256/256 bits)
>
>     out :
>
>     $ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1
>     Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS
>     connection
>     established to smtp-in.orange.fr
>     <http://smtp-in.orange.fr>[80.12.242.9]:25: TLSv1 with cipher DHE-RSA-
>     AES256-SHA (256/256 bits)
>
>     C'est orange hein, faut pas en demander trop ...
>
>
> Ne pourrait-on pas les tacler législativement ?
> En soit ne mettent-il pas en risque leurs usagers ?
> ............Allô la Quadra ?
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20200405/60eff539/attachment-0001.htm>


Plus d'informations sur la liste de diffusion FRsAG