Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU

To: debian-user-french@lists.debian.org
Subject: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
From: Thierry Bugier Pineau <bugier.t@gmail.com>
Date: Fri, 31 Mar 2017 22:11:31 +0200
Message-id: <[🔎] 1490991091.4477.19.camel@gmail.com>
In-reply-to: <[🔎] 201703311900.54519.andre_debian@numericable.fr>
References: <[🔎] 201703261945.28028.andre_debian@numericable.fr> <[🔎] 201703311220.47099.andre_debian@numericable.fr> <[🔎] 1490962951.4477.4.camel@gmail.com> <[🔎] 201703311900.54519.andre_debian@numericable.fr>

Voilà ce que j'ai pour mon serveur web dans la cipher suite

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Ca ne liste que des méthodes de chiffrement, le protocole est dans un paramétrage à part, contrairement à ce que j'avais dans mon souvenir.

En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1 auraient mieux leur place dans ssl_protocols (qui devrait être sur la ligne précédant ssl_cipher_list)

je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et !TLSv1.1 successivement en testant à chaque fois, et voir si des problèmes apparaissent. Du moment que vous gardez une configuration qui fonctionne au chaud, il n'y a pas de risque particulier.

En réponse à votre dernier mesage :

- Je remets le lien vers la page wikipédia : l'accent a été altéré

https://fr.wikipedia.org/wiki/Confidentialité_persistante

- un exemple de connection client avec openssl en forçant tls1 (testé sur imap.gmail.com)

openssl s_client -connect imap.server.com:993 -tls1

Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus reconnus (bien qu'encore présents dans la documentation).

Le vendredi 31 mars 2017 à 19:00 +0200, andre_debian@numericable.fr a écrit :

On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> Ce serait intéressant de savoir ce que contenant la liste
> ssl_cipher_list avant modification, et ce qu'elle contient maintenant.

Avant :
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
+HIGH:+MEDIUM

Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH

> Je vous invite à utiliser un outil de test SSL / TLS en ligne : 

SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...

> pour affiner la configuration maintenant, car il y a un paquet 
> de  choses à faire pour avoir un chiffrement pas trop fragile.

"Affiner et un paquet de  choses à faire" :
que peut-on faire ?  Là je suis dépassé...

André

Reply to:

References:
- Postfix Dovecot et SSL : SSL23: unknown protocol
  - From: andre_debian@numericable.fr
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: andre_debian@numericable.fr
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: Thierry Bugier Pineau <bugier.t@gmail.com>
- Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
  - From: andre_debian@numericable.fr

Prev by Date: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Next by Date: [1/2HS] Ubuntu Canonical dans le collimateur de la CE
Previous by thread: Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Next by thread: Chromium dépend il de Google Chrome ?
Index(es):
- Date
- Thread