Générations de certificats
Logiciels
Apache
Postfix
Dovecot
Choix des algorithmes
Introduction
openssl ciphers
openssl ciphers -V
Références
Version simple:
ECDH+AES:EDH+AES:!aNULL:!eNULL:!EXP:!LOW:!MD5:!SHA1
Compatibilité SHA1
ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES!aNULL:!eNULL:!EXP:!LOW:!MD5
Compatibilité non-AES (IE6,7 / Win XP)
ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES:ECDH+3DES:EDH+3DES:!aNULL:!eNULL:!EXP:!LOW:!MD5
Compatibilité non-DH
ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES:ECDH+3DES:EDH+3DES:AES:3DES:!aNULL:!eNULL:!EXP:!LOW:!MD5
Choix
- ECHD avant DH
- AES laissé au choix de la lib SSL (dans l'ordre AES-256-CBC , AES-128-CBC , AES-256 , AES-128)
- Si besoin de performances, on mettra avant, AES128+CBC et AES128.
- SHA-384 et SHA-256 privilégiés au profit de SHA-1
- Si besoin de performance, on mettra avant, SHA1
- 3DES choix à la place de RC4 (désactivé),
- Si besoin de performance, on mettra avant ou à la place, RC4
Tests
$ wget https://raw.githubusercontent.com/jvehent/cipherscan/master/cipherscan
$ chmod +x cipherscan
$ ./cipherscan -o /usr/bin/openssl breizh-entropy.org
......................
prio ciphersuite protocols pfs_keysize
1 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2
2 ECDHE-RSA-AES256-SHA384 TLSv1.2
3 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2
4 ECDHE-RSA-AES128-SHA256 TLSv1.2
5 DHE-RSA-AES256-GCM-SHA384 TLSv1.2
6 DHE-RSA-AES256-SHA256 TLSv1.2
7 DHE-RSA-AES128-GCM-SHA256 TLSv1.2
8 DHE-RSA-AES128-SHA256 TLSv1.2
9 ECDHE-RSA-AES256-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
10 ECDHE-RSA-AES128-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
11 DHE-RSA-AES256-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
12 DHE-RSA-AES128-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
13 ECDHE-RSA-DES-CBC3-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
14 EDH-RSA-DES-CBC3-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
15 AES256-GCM-SHA384 TLSv1.2
16 AES256-SHA256 TLSv1.2
17 AES256-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
18 AES128-GCM-SHA256 TLSv1.2
19 AES128-SHA256 TLSv1.2
20 AES128-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2
21 DES-CBC3-SHA SSLv3,TLSv1,TLSv1.1,TLSv1.2