serveur-debian-securite:securiser-ssl-tls

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		 Révision précédente
serveur-debian-securite:securiser-ssl-tls [25/08/2015 00:50] – créée zonewebmasterserveur-debian-securite:securiser-ssl-tls [26/02/2020 10:43] (Version actuelle) zonewebmaster
Ligne 5: Ligne 5:
 <code sh> <code sh>
 aptitude update aptitude update
-aptitude safe-uprade+aptitude safe-upgrade
 </code> </code>
  
 ===== La faille Heartbleed ===== ===== La faille Heartbleed =====
  
-**Heartbleed** est la faille qui a fait marquer le monde du **SSL/TLS**, car cette faille permet de révéler le contenu d'un message ou d'un envoi sécurisé (comme un numéro de CB par exemple) et le jeu de clés SSL (primaire et secondaire) sans laisser la moindre trace.+**Heartbleed** est la faille qui a marqué le monde du **SSL/TLS**, car cette faille permet de révéler le contenu d'un message ou d'un envoi sécurisé (comme un numéro de CB par exemple) et le jeu de clés SSL (primaire et secondaire) sans laisser la moindre trace.
 Dès la publication de la faille, **OpenSSL** et les principales distributions Linux ont publiées un correctif. Dès la publication de la faille, **OpenSSL** et les principales distributions Linux ont publiées un correctif.
 Pour s'en prémunir, il suffit de vérifier la version de **openSSL**.  Pour s'en prémunir, il suffit de vérifier la version de **openSSL**. 
Ligne 58: Ligne 58:
 </code> </code>
  
 +ensuite, il faut configurer **openSSL**
  
 +<code sh>
 + openssl ciphers -V 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA256 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EDH+aRSA EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS'
 +</code>
 +
 +Vous obtiendrez quelque chose se rapprochant :
 +
 +<file>
 +          0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
 +          0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
 +          0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
 +          0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
 +          0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
 +          0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
 +          0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
 +          0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
 +          0x00,0x6B - DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
 +          0x00,0x39 - DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
 +          0x00,0x88 - DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
 +          0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
 +          0x00,0x67 - DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
 +          0x00,0x33 - DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
 +          0x00,0x9A - DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
 +          0x00,0x45 - DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1
 +          0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
 +          0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
 +          0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
 +          0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
 +          0xC0,0x13 - ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
 +          0xC0,0x09 - ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
 +          0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
 +          0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
 +          0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
 +          0x00,0x05 - RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
 +</file>
 ===== Le petit plus ===== ===== Le petit plus =====
  
 Il existe plusieurs outils pour tester l'efficacité de la sécurité de votre protocole SSL/TLS, il y a [[https://www.ssllabs.com/ssltest/analyze.html|celui-ci]] par exemple. Il existe plusieurs outils pour tester l'efficacité de la sécurité de votre protocole SSL/TLS, il y a [[https://www.ssllabs.com/ssltest/analyze.html|celui-ci]] par exemple.
  
 +===== Auteurs et sources =====
 +
 +  * Auteur : [[:user:montuy337513]]
 +  * Sources : [[https://www.openssl.org/~bodo/ssl-poodle.pdf|This POODLE bites: exploiting the SSL 3.0 Fallback (Pdf)]], [[https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy|Qualys Blog]]
  
-====== Crédits et sources ======+===== Navigation =====
  
-  * Auteur : [[user:montuy337513|montuy337513]] +  * [[:accueil|Accueil]] 
-  * Sources : [[https://www.openssl.org/~bodo/ssl-poodle.pdf|This POODLE bitesexploiting the SSL 3.0 Fallback (Pdf), [[https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy|Qualys Blog]]+  * [[:serveur-debian-securite]] 
 +  * [[:serveur-debian-general]] 
 +  * [[:serveur-debian-automatisation]] 
 +  * [[:serveur-debian-file]] 
 +  * [[:serveur-debian-log]] 
 +  * [[:serveur-debian-user-groupe]] 
 +  * [[:serveur-debian-apache2]] 
 +  * [[:serveur-debian-postfix]] 
 +  * [[:serveur-debian-mysql]] 
 +  * [[:serveur-debian-divers]]
  
 +<nspages -h1 -exclude:subNs: -textPages="Autres liens rapides pouvant vous intéresser">
  
  • serveur-debian-securite/securiser-ssl-tls.1440456640.txt.gz
  • Dernière modification : 08/10/2019 16:40
  • (modification externe)