Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

To: debian-user-french@lists.debian.org
Subject: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
From: Thierry Bugier Pineau <bugier.t@gmail.com>
Date: Fri, 31 Mar 2017 20:07:37 +0200
Message-id: <[🔎] 1490983657.4477.13.camel@gmail.com>
In-reply-to: <[🔎] 201703311900.54519.andre_debian@numericable.fr>
References: <[🔎] 201703261945.28028.andre_debian@numericable.fr> <[🔎] 201703311220.47099.andre_debian@numericable.fr> <[🔎] 1490962951.4477.4.camel@gmail.com> <[🔎] 201703311900.54519.andre_debian@numericable.fr>

Bonsoir

De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3, TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais vulnérables.

Je pense que vous devez inventorier les clients mail qui seront utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est le cas (ce qui est très probable) alors il faut a jouter !SSLv3, !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque part sur une vieille source non maintenue (elles pulullent et ce mail sera obsolète dans quelques mois ou années).

En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore valable (de ce que je sais à ce jour).

Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la commande openssl s_client que j'ai donnée il y a quelques jours et ajoutez un argument qui force l'usage d'une méthode de chiffrement. Essayez successivement les arguments suivants:

-ssl2

-ssl3

-tls1

-tls1_1

-tls1_2

(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client.html)

Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une connection réussie. Les autres doivent échouer.

Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore la connaissance suffisante à ce sujet mais c'est encore uen question de réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante)

Peut être que la cipher suite préférée pour mon serveur web sera intéressante; je la partage tout à l'heure.

Le vendredi 31 mars 2017 à 19:00 +0200, andre_debian@numericable.fr a écrit :

On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> Ce serait intéressant de savoir ce que contenant la liste
> ssl_cipher_list avant modification, et ce qu'elle contient maintenant.

Avant :
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
+HIGH:+MEDIUM

Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH

> Je vous invite à utiliser un outil de test SSL / TLS en ligne : 

SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...

> pour affiner la configuration maintenant, car il y a un paquet 
> de  choses à faire pour avoir un chiffrement pas trop fragile.

"Affiner et un paquet de  choses à faire" :
que peut-on faire ?  Là je suis dépassé...

André

Reply to:

Follow-Ups:
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: andre_debian@numericable.fr

References:
- Postfix Dovecot et SSL : SSL23: unknown protocol
  - From: andre_debian@numericable.fr
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: andre_debian@numericable.fr
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: Thierry Bugier Pineau <bugier.t@gmail.com>
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: andre_debian@numericable.fr

Prev by Date: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Next by Date: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Previous by thread: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Next by thread: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Index(es):
- Date
- Thread