Bon d'accord, je suis over-méga-à la bourre sur celui-ci : en gros il y a quelques mois, après avoir passé ce blog en HTTPS, je me suis rendu compte que certains couples OS/navigateurs ne fonctionnaient plus, par exemple certaines version d'Internet Explorer sous Windows 7. J'imagine que cela ne doit pas être beaucoup en terme de proportion, mais je me suis quand même dit que c'était vachement dommage. Je suis donc retourné voir générateur de configuration SSL proposé par Mozilla, et j'ai sélectionné un choix "intermédiaire".

Première conséquence : une augmentation des clients compatibles, ça tombe bien, c'est le but ! Maintenant, pour profiter de ce blog, il suffit de disposer d'au minimum Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3 ou bien Java 7.

Deuxième conséquence : une baisse de la \^W \^W \^W \^W et bien non, même pas ! J'ai toujours une note de A+ au test SSL Labs ! Dans ces conditions, pourquoi se priver ? :)

Commentaires

Le 02/01/2017 15:29 par Harvester

Pense à activer l'OCSP Stapling sur ton Apache également, et à demander un certificat Let's Encrypt avec l'option "--must-staple" :)

Le 02/01/2017 15:37 par Blue

« je me suis rendu compte que certains couples OS/navigateurs ne fonctionnaient plus, par exemple certaines version d'Internet Explorer sous Windows 7 »

Il y en a qui cherche aussi :-)

Le 02/01/2017 15:52 par aeris

Oui mais non. https://tls.imirhil.fr/https/blog.anotherhomepage.org Pour supporter les vieux navigateurs, tu dois activer 3DES qui est aujourd’hui complètement pété http://www.zdnet.fr/actualites/sweet32-les-vieux-algos-se-cachent-pour-mourir-39841068.htm Ainsi que des suites non PFS, qui feraient qu’un heartbleed bis te ferait tout aussi mal.

La SEULE config viable/fiable aujourd’hui est ECHDE+AES (avec CHACHA20 si tu le supportes), DHE montrant trop de signe de faiblesse et étant massivement plus lent que ECHDE.

Cf https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html pour plus de détails sur les choix à opérer.

Le 04/01/2017 17:15 par Nils

Ouah ! Tout d'abord, merci à vous trois pour vos commentaires, j'avoue que je n'étais même pas certain que des gens lisaient encore mes billets !

@Harvester : c'est fait, et le certificat a été regénéré via l'option adéquate, suivie d'une vérification SSL labs + openssl !

@Blue : plus sérieusement, l'intérêt d'un blog, c'est parfois d'être lu. Il arrive que des gens utilisent l'OS et le navigateur imposé par leur employeur, et que pour ceux qui utilisent Windows, même la dernière version d'Internet Explorer pour Windows 7 était incapable de se connecter ici.

@aeris : le moins qu'on puisse dire c'est que tu as creusé le sujet en profondeur ! Concernant les vieux navigateurs, je crois qu'il faut d'abord définir desquels il s'agit. En ce qui me concerne, c'était le cas spécifique du dernier Internet Explorer pour Windows 7 qui m'avait fait modifier ma configuration, et ce n'est pas sensé être si vieux, puisque toujours maintenu par Microsoft. Je n'irai pas plus loin sur le sujet, tu l'as très bien abordé dans ton article en abordant le phénomène de dette technologique. A propos de ton outil de vérification des algorithmes de chiffrement, il est rudement bien fichu, bravo ! J'ai pu retirer sans problème les vieux algorithmes tout en vérifiant du côté de SSL Labs que les plateformes qui m'intéressent actuellement peuvent toujours accéder à ce blog. C'est d'ailleurs les 2 axes d'amélioration que je vois pour Cryptcheck : indiquer pour quel client/navigateur les algorithmes affichés sont les plus puissants, et peut-être proposer une explication de sa non-pertinence (par exemple, ajouter RC4 no more sur les algorithmes basés sur RC4).

Le 05/01/2017 10:37 par Blue

@Nils : C'est vrai que certains n'ont pas le choix.