[technique] Réglage du cipher suite HTTPS sous Apache
Solarus
solarus at ultrawaves.fr
Mer 5 Fév 22:14:52 CET 2014
Le 05/02/2014 14:12, Solarus a écrit :
> Le 2014-02-05 14:05, Antoine Lubineau a écrit :
>
>> dans apache/mods-available/ssl.conf, j'utilise ça :
>>
>> SSLHonorCipherOrder on
>> SSLCipherSuite
>> ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
>>
>>
>
> Merci à vous deux pour votre aide, je regarde ça ce soir.
>
Je viens de tester et ça ne fonctionne pas.
J'ai rentré la cipher suite indiquée mais quelque soit le navigateur il
choisit un algo DHE sans EC.
J'ai essayé de ne mettre que les ECDH dans la cipher suite mais la
connexion ne fonctionne alors plus.
Pourtant les algos sont bien disponibles :
root at ultrawaves:/etc/apache2/mods-available# openssl ciphers -v
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256)
Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA
Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256)
Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
On dirait qu'Apache a du mal à dialoguer avec OpenSSL.
Je vais faire des tests avec Debian Sid et une version d'Apache plus
récente ainsi qu'avec Nginx pour voir ce que ça donne.
Cordialement.
--
Solarus - solarus at ultrawaves.fr
Clé GPG - 0x02C29734
N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 901 octets
Desc: OpenPGP digital signature
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20140205/2a4f1cef/attachment.sig>
Plus d'informations sur la liste de diffusion technique