ConfigurationSSL

Générations de certificats

Logiciels

Apache

Postfix

Dovecot

Choix des algorithmes

Introduction

openssl ciphers
openssl ciphers -V

Références

• https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy
• https://wiki.mozilla.org/Security/Server_Side_TLS
• https://cc.dcsec.uni-hannover.de/
• https://www.ssllabs.com/ssltest/clients.html
• https://fancynossl.hboeck.de/

Version simple:

ECDH+AES:EDH+AES:!aNULL:!eNULL:!EXP:!LOW:!MD5:!SHA1

Compatibilité SHA1

ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES!aNULL:!eNULL:!EXP:!LOW:!MD5

Compatibilité non-AES (IE6,7 / Win XP)

ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES:ECDH+3DES:EDH+3DES:!aNULL:!eNULL:!EXP:!LOW:!MD5

Compatibilité non-DH

ECDH+AES:EDH+AES:-SHA1:ECDH+AES:EDH+AES:ECDH+3DES:EDH+3DES:AES:3DES:!aNULL:!eNULL:!EXP:!LOW:!MD5

Choix

• ECHD avant DH
• AES laissé au choix de la lib SSL (dans l'ordre AES-256-CBC , AES-128-CBC , AES-256 , AES-128)
  • Si besoin de performances, on mettra avant, AES128+CBC et AES128.
• SHA-384 et SHA-256 privilégiés au profit de SHA-1
  • Si besoin de performance, on mettra avant, SHA1
• 3DES choix à la place de RC4 (désactivé),
  • Si besoin de performance, on mettra avant ou à la place, RC4

Tests

$ wget https://raw.githubusercontent.com/jvehent/cipherscan/master/cipherscan
$ chmod +x cipherscan
$ ./cipherscan -o /usr/bin/openssl breizh-entropy.org
......................
prio  ciphersuite                  protocols                    pfs_keysize
1     ECDHE-RSA-AES256-GCM-SHA384  TLSv1.2
2     ECDHE-RSA-AES256-SHA384      TLSv1.2
3     ECDHE-RSA-AES128-GCM-SHA256  TLSv1.2
4     ECDHE-RSA-AES128-SHA256      TLSv1.2
5     DHE-RSA-AES256-GCM-SHA384    TLSv1.2
6     DHE-RSA-AES256-SHA256        TLSv1.2
7     DHE-RSA-AES128-GCM-SHA256    TLSv1.2
8     DHE-RSA-AES128-SHA256        TLSv1.2
9     ECDHE-RSA-AES256-SHA         SSLv3,TLSv1,TLSv1.1,TLSv1.2
10    ECDHE-RSA-AES128-SHA         SSLv3,TLSv1,TLSv1.1,TLSv1.2
11    DHE-RSA-AES256-SHA           SSLv3,TLSv1,TLSv1.1,TLSv1.2
12    DHE-RSA-AES128-SHA           SSLv3,TLSv1,TLSv1.1,TLSv1.2
13    ECDHE-RSA-DES-CBC3-SHA       SSLv3,TLSv1,TLSv1.1,TLSv1.2
14    EDH-RSA-DES-CBC3-SHA         SSLv3,TLSv1,TLSv1.1,TLSv1.2
15    AES256-GCM-SHA384            TLSv1.2
16    AES256-SHA256                TLSv1.2
17    AES256-SHA                   SSLv3,TLSv1,TLSv1.1,TLSv1.2
18    AES128-GCM-SHA256            TLSv1.2
19    AES128-SHA256                TLSv1.2
20    AES128-SHA                   SSLv3,TLSv1,TLSv1.1,TLSv1.2
21    DES-CBC3-SHA                 SSLv3,TLSv1,TLSv1.1,TLSv1.2