SMPFR

Euh... Pourquoi l'ancien certificat fonctionnait correctement ?

Pong

Kali: startssl/startcom se fait dégager de partout, debian la déjà plus dans son nss-cert, gentoo pareil et mozilla va y venir.

Si tu veux un truc easy et gratos, LE même si j'y suis pas favorable, sinon gandi mais payant.

pong

Ping, j'aime bien LE moi
j'ai un A ou A+

en dehors du certif (que ssl labs valide ou pas, la chaine de valid etc) c'est aussi une bonne confi apache/nginx

je sors un A+ à chaque fois.

pong

Dans l'urgence j'ai crée un certificat LE, j'obtiens un A.

@Giz Si tu as le temps, un petit howto pour obtenir un A+ serait le bienvenu.

Ping

okay, je vois pour faire ca ce soir pour nginx

pong

moi j'ai pour apache
mais Https Strict

ping

j'ai 2 conf:
- https strict qui te sort un A+ et compatible avec pas mal de "vieux" périph
- http/2 mais ca coupe beaucoup de chose

pong

ping

@kali :

https://wiki.mozilla.org/Security/Server_Side_TLS + https://mozilla.github.io/server-side-t ... generator/

Et : https://cipherli.st/

Pong

cob: sur le site cipherli y a 2/3 trucs dans la conf nginx qui peuvent être bloquant, genre:
ssl_session_tickets off; du coup ca pète le stappling

le HSTS suivant ton certificat ca peut être chiant et la suite de ciphers est pas ouffissime :/ aucune exclusion du RC4/MD5/eNULL/aNULL etc

ping

pong, j'ai un truc du genre

UseCanonicalName On
# Redirect         permanent /secure https://x.com/




       
        ServerName x
        ServerAlias x

        UseCanonicalName On


    
        Order deny,allow
        Allow from all
    

SetEnv proxy-nokeepalive 1
SetEnv proxy-sendchunked 1

    SSLEngine               On
    SSLProxyEngine          On
    SSLHonorCipherOrder     On
    SSLProxyVerify          require
    SSLProxyCheckPeerName   On
    SSLProxyCheckPeerExpire On
    SSLCompression off
    SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1
  SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES$


    ProxyRequests     Off
    ProxyPreserveHost On
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    Header        set        Connection "Upgrade"
    RequestHeader setifempty Connection "Upgrade"
    Header        set        Upgrade "websocket"
    RequestHeader setifempty Upgrade "websocket"

    # Notice!!! Put me before http!!!
    ProxyPass        /socket ws://localhost:8096/socket
    ProxyPassReverse /socket ws://localhost:8096/socket

    # Notice!!! Put me after ws!!!
    ProxyPass        / http://localhost:8096/
    ProxyPassReverse / http://localhost:8096/


    ErrorLog  ${APACHE_LOG_DIR}/emby-ssl-error.log
    CustomLog ${APACHE_LOG_DIR}/emby-ssl-access.log combined

passe de :
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1

à

SSLProtocol TLSv1.2

ca revient au même

je colle ma conf dès que je peux.

ping

edit: hum c'est de l'apache, du coup j'ai un doute pour ma modif, à voir

passe de :
SSLProtocol +TLSv1.2 -TLSv1.1 -TLSv1

à

SSLProtocol TLSv1.2

ca revient au même

je colle ma conf dès que je peux.

ping

edit: hum c'est de l'apache, du coup j'ai un doute pour ma modif, à voir

nan tu as raison, c'est moi qui ai fait le bourrin mais on ne sait jamais
je suis juste explicite au lieu de implicite

pong/ping

cob: sur le site cipherli y a 2/3 trucs dans la conf nginx qui peuvent être bloquant, genre:
ssl_session_tickets off; du coup ca pète le stappling

C'est une bonne base de départ ces générateurs mais ça peut/doit se peaufiner selon le cas d'usage. Je préfère celui de mozilla à cipherli.st anyway.
Euh par contre je vois pas le rapport entre la reprise de session et l'OCSP stapling ..??
+ ils désactivent les tickets de session par défaut pour privilégier les IDs de sessions à l'ancienne plus simple à mettre en oeuvre côté serveur (faut juste un peu d'espace disque pour le cache)
+ faut impérativement une rotation régulière de la clé maitre côté serveur si on supporte les tickets de session >> le sysadmin doit comprendre ce qu'il fait et mettre en place les prérequis avant d'activer ça, d'où le off par défaut je présume

c0b: je n'ai pas compris non plus et pas trop cherché à midi mais nginx au restart ma collé un warning comme quoi ca passait en non use, faut que je regarde ca

pong

Donc, ma conf:

j'ai un fichier ssl.conf dans lequel y a:

ssl on;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:5m;
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ecdh_curve secp384r1;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on; 
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_dhparam /etc/ssl/boris-tassou/dhparam.pem;
ssl_trusted_certificate /etc/ssl/boris-tassou/local_ca/CAroot.crt;
add_header Strict-Transport-Security max-age=15768000;
add_header X-Clacks-Overhead "GNU Terry Pratchett";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Qui ensuite est appelé par mes vhosts via un include.

et du coup, dans le vhost il reste à mettre:

include /usr/local/etc/nginx/ssl.conf;
ssl_certificate /etc/ssl/toncert.crt;
ssl_certificate_key /etc/ssl/tacle.key;

et avec ca, sur mes sites perso ca me tombe un A+.

par contre, sur mon autre CA, j'ai du virer le stapling et le ticket session off.

Conf pour Nginx, j'utilise pas apache.

ping

Avec la conf au dessus, ca donne un A+ avec les 3 premières barres à fond

pong

Avec la conf au dessus, ca donne un A+ avec les 3 premières barres à fond

pong

La mienne ne donne que


enfin en fevrier

vous les testez ou vos certifs?
pong

Il se passe quoi avec le LTC ?? J'espérais même plus le revoir à ce prix ping

Toutes les cryptos se font "shorté".... soit par des humains, soit par des bots

Mercredi à partir de 11h, toutes risques d'être haute.

vous les testez ou vos certifs?pong

=> https://www.ssllabs.com/ssltest/

Ping

Toutes les cryptos se font "shorté".... soit par des humains, soit par des bots

Mercredi à partir de 11h, toutes risques d'être haute.

ça veut dire quoi shorter ?

pong

Gros achats en masse = cours qui monte en fleche
... et direct vente rapide des 2/3 = chute
.... puis rachat de suite.

En plus sur le btc, il est possible de parier à la hausse ou à la baisse
= tu fais de même mais avant tu pari€s