ριиg σr ρσиg ?

[kalistyan]

Euh... Pourquoi l'ancien certificat fonctionnait correctement ?

Pong

[gizmo78]

Kali: startssl/startcom se fait dégager de partout, debian la déjà plus dans son nss-cert, gentoo pareil et mozilla va y venir.

Si tu veux un truc easy et gratos, LE même si j'y suis pas favorable, sinon gandi mais payant.

pong

[biour]

Ping, j'aime bien LE moi
j'ai un A ou A+

[gizmo78]

en dehors du certif (que ssl labs valide ou pas, la chaine de valid etc) c'est aussi une bonne confi apache/nginx

je sors un A+ à chaque fois.

pong

[kalistyan]

Dans l'urgence j'ai crée un certificat LE, j'obtiens un A.

@Giz Si tu as le temps, un petit howto pour obtenir un A+ serait le bienvenu.

Ping

[gizmo78]

okay, je vois pour faire ca ce soir pour nginx

pong

[biour]

moi j'ai pour apache
mais Https Strict

ping

[gizmo78]

j'ai 2 conf:
- https strict qui te sort un A+ et compatible avec pas mal de "vieux" périph
- http/2 mais ca coupe beaucoup de chose

pong

[c0bw3b]

ping

@kali :

https://wiki.mozilla.org/Security/Server_Side_TLS + https://mozilla.github.io/server-side-t ... generator/

Et : https://cipherli.st/

[kalistyan]

Pong

[gizmo78]

cob: sur le site cipherli y a 2/3 trucs dans la conf nginx qui peuvent être bloquant, genre:
ssl_session_tickets off; du coup ca pète le stappling

le HSTS suivant ton certificat ca peut être chiant et la suite de ciphers est pas ouffissime :/ aucune exclusion du RC4/MD5/eNULL/aNULL etc

ping

[biour]

pong, j'ai un truc du genre

UseCanonicalName On
# Redirect         permanent /secure https://x.com/




       
        ServerName x
        ServerAlias x

        UseCanonicalName On


    
        Order deny,allow
        Allow from all
    

SetEnv proxy-nokeepalive 1
SetEnv proxy-sendchunked 1

    SSLEngine               On
    SSLProxyEngine          On
    SSLHonorCipherOrder     On
    SSLProxyVerify          require
    SSLProxyCheckPeerName   On
    SSLProxyCheckPeerExpire On
    SSLCompression off
    SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1
  SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES$


    ProxyRequests     Off
    ProxyPreserveHost On
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    Header        set        Connection "Upgrade"
    RequestHeader setifempty Connection "Upgrade"
    Header        set        Upgrade "websocket"
    RequestHeader setifempty Upgrade "websocket"

    # Notice!!! Put me before http!!!
    ProxyPass        /socket ws://localhost:8096/socket
    ProxyPassReverse /socket ws://localhost:8096/socket

    # Notice!!! Put me after ws!!!
    ProxyPass        / http://localhost:8096/
    ProxyPassReverse / http://localhost:8096/


    ErrorLog  ${APACHE_LOG_DIR}/emby-ssl-error.log
    CustomLog ${APACHE_LOG_DIR}/emby-ssl-access.log combined

[gizmo78]

passe de :
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1

à

SSLProtocol TLSv1.2

ca revient au même

je colle ma conf dès que je peux.

ping

edit: hum c'est de l'apache, du coup j'ai un doute pour ma modif, à voir

[biour]

passe de :
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1

à

SSLProtocol TLSv1.2

ca revient au même

je colle ma conf dès que je peux.

ping

edit: hum c'est de l'apache, du coup j'ai un doute pour ma modif, à voir

nan tu as raison, c'est moi qui ai fait le bourrin mais on ne sait jamais
je suis juste explicite au lieu de implicite

[c0bw3b]

pong/ping

cob: sur le site cipherli y a 2/3 trucs dans la conf nginx qui peuvent être bloquant, genre:
ssl_session_tickets off; du coup ca pète le stappling

C'est une bonne base de départ ces générateurs mais ça peut/doit se peaufiner selon le cas d'usage. Je préfère celui de mozilla à cipherli.st anyway.
Euh par contre je vois pas le rapport entre la reprise de session et l'OCSP stapling ..??
+ ils désactivent les tickets de session par défaut pour privilégier les IDs de sessions à l'ancienne plus simple à mettre en oeuvre côté serveur (faut juste un peu d'espace disque pour le cache)
+ faut impérativement une rotation régulière de la clé maitre côté serveur si on supporte les tickets de session >> le sysadmin doit comprendre ce qu'il fait et mettre en place les prérequis avant d'activer ça, d'où le off par défaut je présume

[gizmo78]

c0b: je n'ai pas compris non plus et pas trop cherché à midi mais nginx au restart ma collé un warning comme quoi ca passait en non use, faut que je regarde ca

pong

[gizmo78]

Donc, ma conf:

j'ai un fichier ssl.conf dans lequel y a:

ssl on;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:5m;
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ecdh_curve secp384r1;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on; 
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_dhparam /etc/ssl/boris-tassou/dhparam.pem;
ssl_trusted_certificate /etc/ssl/boris-tassou/local_ca/CAroot.crt;
add_header Strict-Transport-Security max-age=15768000;
add_header X-Clacks-Overhead "GNU Terry Pratchett";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Qui ensuite est appelé par mes vhosts via un include.

et du coup, dans le vhost il reste à mettre:

include /usr/local/etc/nginx/ssl.conf;
ssl_certificate /etc/ssl/toncert.crt;
ssl_certificate_key /etc/ssl/tacle.key;

et avec ca, sur mes sites perso ca me tombe un A+.

par contre, sur mon autre CA, j'ai du virer le stapling et le ticket session off.

Conf pour Nginx, j'utilise pas apache.

ping

[gizmo78]

Avec la conf au dessus, ca donne un A+ avec les 3 premières barres à fond

pong

[biour]

Avec la conf au dessus, ca donne un A+ avec les 3 premières barres à fond

pong

La mienne ne donne que


enfin en fevrier

[yahaha]

vous les testez ou vos certifs?
pong

[micha30000]

Il se passe quoi avec le LTC ?? J'espérais même plus le revoir à ce prix ping

[augur1]

Toutes les cryptos se font "shorté".... soit par des humains, soit par des bots

Mercredi à partir de 11h, toutes risques d'être haute.

[kalistyan]

vous les testez ou vos certifs?pong

=> https://www.ssllabs.com/ssltest/

Ping

[Zedoune]

Toutes les cryptos se font "shorté".... soit par des humains, soit par des bots

Mercredi à partir de 11h, toutes risques d'être haute.

ça veut dire quoi shorter ?

pong

[augur1]

Gros achats en masse = cours qui monte en fleche
... et direct vente rapide des 2/3 = chute
.... puis rachat de suite.

En plus sur le btc, il est possible de parier à la hausse ou à la baisse
= tu fais de même mais avant tu pari€s