Test d'implémentation SSL en ligne

Bastiat · 4 août 2010

76%, pas mal !

https://www.ssllabs.com/ssldb/analyze.html?…liberaux.org%2F

sur https://www.ssllabs.com/

La majorité des sites n'utilise pas correctement SSL

http://www.developpez.net/forums/d957919/c…-protocole-ssl/

Nick de Cusa · 6 août 2010

Qu'est-ce que ça signifie? Ça peut s'expliquer brièvement et s'énoncer clairement pour le profane?

6 août 2010

Refaites-le maintenant :icon_up:

Rincevent · 6 août 2010

jabial a dit :
Refaites-le maintenant

88 % : allons, encore un petit effort ! :doigt:

6 août 2010

Rincevent a dit :
88 % : allons, encore un petit effort !

Je ne peux pas l'améliorer sans :

- briser la compatibilité avec certains vieux navigateurs

- couper purement et simplement l'accès au forum hors SSL

- changer de logiciel serveur

- changer de forum (mais la mise à jour IPB3 mettra peut-être fin aux images en http sur les pages https).

Mais bon, on a un rating de A là. C'est le max. Le site de la SG est à 85%, moins que nous.

Rincevent · 6 août 2010

Je ne comprends pas tout à ce benchmark, mais un test (expérimental), portant je crois sur la force d'un mot de passe, renvoie "mot de passe trop long". :icon_up:

6 août 2010

Rincevent a dit :
Je ne comprends pas tout à ce benchmark, mais un test (expérimental), portant je crois sur la force d'un mot de passe, renvoie "mot de passe trop long".

Nan, c'est pas un mot de passe, c'est la chaîne de confiance. Il trouve qu'elle est un peu longue, mais ça, pour moi, c'est pas un vrai problème de sécurité. Du moment que chaque élément de la chaîne est accessible, il n'y a pas de souci.

Sloonz · 6 août 2010

Voyages-sncf.com : « Inconsistent server configuration » :icon_up:

Bastiat · 7 août 2010

Nick de Cusa a dit :
Qu'est-ce que ça signifie? Ça peut s'expliquer brièvement et s'énoncer clairement pour le profane?

En tapant https://liberaux.org

On utilise un beau protocole (SSL) qui permet au site de montrer sa carte d'identité (certificat) et prouver qu'il est bien lui et crypte les échanges.

Mais il est quelques fois mal configuré.

Ce test vérifie les paramètres.

Bravo Jabial, j'étais sur qu'il relèverait le défit. :icon_up:

Edit: je me demande si on peut imposer SSL pour un sous forum particulié, avec une redirection ?

via Apache, ça doit se faire ?

7 août 2010

bastiat a dit :
Edit: je me demande si on peut imposer SSL pour un sous forum particulié, avec une redirection ?

Oui, on peut, c'est facile et ça peut se faire proprement. On peut même imposer SSL pour les modos et les admins, mais ça nécessite de toucher au code du site, ce qui est Pas Cool. L'idéal serait d'imposer le SSL pour tout le monde et de couper le port 80 (ou plutôt, redirect permanent vers hptts://…), mais je ne sais pas si le serveur tiendrait le choc. Il commence à se faire vieux. Faudra voir au prochain changement.

justt · 12 août 2010

SSL est interdit/bridé chez pas mal de gens (entreprises…) l'imposer c'est encore moins Cool que de toucher le code du site. Peut-être il y a des plugins IPB exprès pour ça ?

12 août 2010

justt a dit :
SSL est interdit/bridé chez pas mal de gens (entreprises…) l'imposer c'est encore moins Cool que de toucher le code du site. Peut-être il y a des plugins IPB exprès pour ça ?

Chez toi SSL est interdit ?

Non parce que ça m'étonne un peu ce que tu dis là.

pankkake · 12 août 2010

Si SSL est interdit là où tu bosse, il n’y a qu’une seule solution… la démission.

neuneu2k · 12 août 2010

jabial a dit :
Chez toi SSL est interdit ?
Non parce que ça m'étonne un peu ce que tu dis là.

Ca me surprends un peu aussi, en général, ceux qui sont assez parano pour ne pas vouloir de flux cryptés sortants sont assez fourbes pour imposer leur propre autorité de certification et faire un Man In The Middle au niveau du proxy…

En comment font les managers pour aller sur leurs sites de réservation de vacances en ligne ?

Sinon, la solution est connue, c'est ce que j'ai fini par faire, au quotidien un iPhone, si j'ai vraiement besoin d'un acces plus … souple, je prends mon laptop et le iPhone en mode modem, et la, je suis indépendent du systeme d'information du site…

Bon, maintenant, si les téléphones sont brouillés sur ton lieu de travail, tu sors de la salle de marché/centre C3 militaire tout de suite, ou tu arrête d'aller sur lib.org sur un système stratégique !

12 août 2010

Ceux qui ont le SSL bloqués sur leur lieu de travail lèvent la main SVP ?

Au pire on pourra laisser un "insecure.liberaux.org". Si on est obligé de taper une URL bizarre au moins ce ne sera pas le comportement par défaut.

NB : intercepter les communications cryptées par un MITM au niveau du proxy je suis sûr que ça fait fantasmer beaucoup d'admins paranos mais c'est strictement interdit par la loi. Toute surveillance implique de prévenir les gens de façon très intrusive, et une autorisation spéciale qu'on n'obtient pas si on vend des yahourts. Évidemment, si vous travaillez pour l'État…

pankkake · 12 août 2010

Pas besoin d'iPhone pour ça, mon Nokia qui a plus de 4 ans faisait déjà le modem pour PC.

Et il faut toujours "jailbreaker" pour y avoir accès ?

Non plus sérieusement, n'achetez pas un iPhone pour ça, quand d'autres téléphones meilleurs et moins chers le font sans avoir de bidouille à faire.

Sloonz · 12 août 2010

jabial a dit :
Ceux qui ont le SSL bloqués sur leur lieu de travail lèvent la main SVP ?

J’en ai vu des configs moisies dans les résidences étudiant (« tiens, si on s’amusait à faire passer le wifi en clair, tout en interdisant le SMTPS ? » :icon_up: ), mais du HTTPS bloqué, jamais…

12 août 2010

Sloonz a dit :
J’en ai vu des configs moisies dans les résidences étudiant (« tiens, si on s’amusait à faire passer le wifi en clair, tout en interdisant le SMTPS ? » ), mais du HTTPS bloqué, jamais…

Voilà.

neuneu2k · 13 août 2010

Bon, par contre, des BlueCoat configurés pour MITM les flux SSL, j'en ai déjà vu déployés hein, et oui, c'est sale, mais 99% des utilisateurs n'y voient que du feu.

Pour le iPhone, son utilisation en mode data est interdite par l'opérateur sans un forfait spécial étant donné les caractéristiques particulières du forfait iPhone, jailbreak ou pas jailbreak, donc forfait spécial j'ai, et jailbreak, j'ai pas (de toute façon, le meilleur client ssh pour iPhone est sur l'apple store alors…)

Bastiat · 13 août 2010

neuneu2k a dit :
Bon, par contre, des BlueCoat configurés pour MITM les flux SSL, j'en ai déjà vu déployés hein, et oui, c'est sale, mais 99% des utilisateurs n'y voient que du feu.
Pour le iPhone, son utilisation en mode data est interdite par l'opérateur sans un forfait spécial étant donné les caractéristiques particulières du forfait iPhone, jailbreak ou pas jailbreak, donc forfait spécial j'ai, et jailbreak, j'ai pas (de toute façon, le meilleur client ssh pour iPhone est sur l'apple store alors…)

J'en ai un à la 'maison', sur l'un de mes serveurs, mais je ne l'administre pas.

Comment on fait pour faire parti des 1% ?

EDIT: OK je viens de comprendre pourquoi mon Firefox gueule à chaque connexion SSL, il n'utilise pas le CA maison distribué par GPO… J'aurais du m'en douter.

EDIT2: Chrome lui utilise les certifs Windows, il n'y verrais que du feu je pense. Probable que toute application qui gère ses propres CA (tout le temps ou dans certaines circonstances) rencontrera des problèmes.

13 août 2010

neuneu2k a dit :
Bon, par contre, des BlueCoat configurés pour MITM les flux SSL, j'en ai déjà vu déployés hein, et oui, c'est sale, mais 99% des utilisateurs n'y voient que du feu.

C'est surtout illégal. S'il se fait chopper sur dénonciation d'un salarié, il va prendre cher.

Bastiat · 14 août 2010

jabial a dit :
C'est surtout illégal. S'il se fait chopper sur dénonciation d'un salarié, il va prendre cher.

Moi pas de risque je travail plus ou moins pour l'Etat…Les loi ne valent pas pour lui.

Mais franchement dans le cas général, je ne vois vraiment pas ce qui les gène à informer les employés que les conversations SSL sont surveillées.

Dé que l'on a des secrets indus à protéger, il n'y a rien de plus normal.

D'ailleurs, si j'avais une boite, je mettrais le proxy sur liste blanche pour les postes utilisateurs, ça réglerait une partie de la question.

14 août 2010

Un utilisateur un peu malin il va utiliser du tunneling à l'intérieur de SSL. Pour ça il bricole un serveur web chez lui afin de faire une session SSL propre à l'extérieur et à l'intérieur, hop, openvpn en symmétrique. Impossible de faire du mitm sur du symmétrique. Ceci dit, bon, d'une manière générale faut jamais rien faire de sensible sur un poste où c'est pas toi l'admin. Peut y avoir un machin qui prend tes frappes de clavier et fait une capture d'écran en permanence, et si c'est bien fait c'est strictement indétectable (hardware dans le PC… verrouillé physiquement).

neuneu2k · 14 août 2010

jabial a dit :
Un utilisateur un peu malin il va utiliser du tunneling à l'intérieur de SSL. Pour ça il bricole un serveur web chez lui afin de faire une session SSL propre à l'extérieur et à l'intérieur, hop, openvpn en symmétrique.

Sauf que même les proxy pros qui ne font pas de MITM sur le CONNECT ajoutent des contraintes de durée de vie sur les sessions SSL, font du buffering pour empêcher le mode full duplex (non nécessaire pour HTTPS…), font de l'analyse de trafic pour comparer a des flux HTTPS 'normaux'.

jabial a dit :
Impossible de faire du mitm sur du symmétrique. Ceci dit, bon, d'une manière générale faut jamais rien faire de sensible sur un poste où c'est pas toi l'admin. Peut y avoir un machin qui prend tes frappes de clavier et fait une capture d'écran en permanence, et si c'est bien fait c'est strictement indétectable (hardware dans le PC… verrouillé physiquement).

Oui, mais même sur du hardware totalement compromis, il reste possible de faire des trucs avec du OTPW, mais bon, a ce point la (et bien avant), SSL/3G > bricolage/réseau d'entreprise.

bastiat a dit :
Comment on fait pour faire parti des 1% ?
EDIT: OK je viens de comprendre pourquoi mon Firefox gueule à chaque connexion SSL, il n'utilise pas le CA maison distribué par GPO… J'aurais du m'en douter.

Voila, tu fait partie des 1%, c'est l'heure d'acheter un forfait modem 3G :icon_up:

Ah oui, et pour les banques de financement et d'investissement, sur le personnel 'sensible' c'est légal, comme les écoutes téléphoniques et la levée du secret bancaire…

Bastiat · 14 août 2010

Tien, à ce propos, il y a un bon article technique sur le choix du navigateur en entreprise.

Bon évidement, c'est fait par un employé de Microsoft… Mais quand même, je souscrit assez.

neuneu2k · 14 août 2010

bastiat a dit :
Tien, à ce propos, il y a un bon article technique sur le choix du navigateur en entreprise.
Bon évidement, c'est fait par un employé de Microsoft… Mais quand même, je souscrit assez.

Du navigateur 'standard' c'est une chose, du navigateur imposé, c'en est une autre, l'absence de flexibilité et l'administration centrale qu'on souhaite pour les utilisateurs lambda sont justement les points négatifs pour certains utilisateurs 'particuliers'.

Accessoirement, ils ont raison chez Microsoft, mais bon, ils avaient raison aussi pour IE6 en entreprise sur le management centralisé et maintenant on en paye le prix…

Bastiat · 14 août 2010

neuneu2k a dit :
Voila, tu fait partie des 1%, c'est l'heure d'acheter un forfait modem 3G
Ah oui, et pour les banques de financement et d'investissement, sur le personnel 'sensible' c'est légal, comme les écoutes téléphoniques et la levée du secret bancaire…

C'est légal, mais est-ce que ça exclu de prévenir les employers que ça peut être pratiqué au quotidien ?

As tu des références sur légifrance ?

bastiat a dit :
Tien, à ce propos, il y a un bon article technique sur le choix du navigateur en entreprise.
Bon évidement, c'est fait par un employé de Microsoft… Mais quand même, je souscrit assez.

EDIT: j'avais oublié le lien

http://blogs.msdn.com/b/iefrance/archive/2…comparable.aspx

neuneu2k a dit :
Du navigateur 'standard' c'est une chose, du navigateur imposé, c'en est une autre, l'absence de flexibilité et l'administration centrale qu'on souhaite pour les utilisateurs lambda sont justement les points négatifs pour certains utilisateurs 'particuliers'.
Accessoirement, ils ont raison chez Microsoft, mais bon, ils avaient raison aussi pour IE6 en entreprise sur le management centralisé et maintenant on en paye le prix…

Il est quand même vraisemblable que Mozilla ait fait le choix du grand public.

Ce n'est peut être pas un très bon calcul, il y a de la concurence naissante sur ce secteur, et ie est protégé dans sa petite bulle pro.

14 août 2010

neuneu2k a dit :
Sauf que même les proxy pros qui ne font pas de MITM sur le CONNECT ajoutent des contraintes de durée de vie sur les sessions SSL, font du buffering pour empêcher le mode full duplex (non nécessaire pour HTTPS…), font de l'analyse de trafic pour comparer a des flux HTTPS 'normaux'.

Tout ça peut être contourné. On peut toujours simuler du full duplex avec du half duplex. Et on peut facilement transformer du binaire en suite de mots.

Citation
Oui, mais même sur du hardware totalement compromis, il reste possible de faire des trucs avec du OTPW, mais bon, a ce point la (et bien avant), SSL/3G > bricolage/réseau d'entreprise.

Ouais enfin bon, il sert à quoi le OTPW si tout est espionné ? En plus il y a une possiiblité de vol de session.

Pis bon, si on veut absolument empêcher les portables de fonctionner, ça peut s'arranger aussi. Suffit de fournir aux employés de portables mixtes wi-fi/UMTS avec une cage de faraday dans les murs et les vitres. À l'intérieur les portables ne captent que le wi-fi -> ça passe par le réseau de l'entreprise.

Citation
Ah oui, et pour les banques de financement et d'investissement, sur le personnel 'sensible' c'est légal, comme les écoutes téléphoniques et la levée du secret bancaire…

Oui, mais pas pour les boîtes qui vendent des yahourts. En général quand on bosse dans une institution financière on se doute un peu qu'on est surveillé.

neuneu2k · 14 août 2010

C'est encore plus simple, les Salles de Marchés sont équipées de brouilleurs dans certains cas, et les portables y sont interdits, point.

Heureusement, c'est de plus en plus rare… Les gens commencent à comprendre que ce qu’il faut surveiller, c'est le comportement et non la technique, merci Jérôme :icon_up:

14 août 2010

neuneu2k a dit :
C'est encore plus simple, les Salles de Marchés sont équipées de brouilleurs dans certains cas, et les portables y sont interdits, point.

Le brouilleur c'est bien gentil mais la rumeur court :icon_up: qu'ils ne brouillent pas tout, exprès pour que certains portables passent quand même. Un peu comme le GPS quoi. Les vieux GPS militaires ça se trouve sur le marché noir, le plus dur c'est d'avoir la clé qui change régulièrement.

Citation
Heureusement, c'est de plus en plus rare… Les gens commencent à comprendre que ce qu’il faut surveiller, c'est le comportement et non la technique, merci Jérôme

Si un vrai informaticien avait surveillé l'ordinateur sur lequel Jérôme travaillait, on l'aurait vite arrêté.

Connexion

Test d'implémentation SSL en ligne

Messages recommandés

Bastiat

Nick de Cusa

Invité jabial

Rincevent

Invité jabial

Rincevent

Invité jabial

Sloonz

Bastiat

Invité jabial

justt

Invité jabial

pankkake

neuneu2k

Invité jabial

pankkake

Sloonz

Invité jabial

neuneu2k

Bastiat

Invité jabial

Bastiat

Invité jabial

neuneu2k

Bastiat

neuneu2k

Bastiat

Invité jabial

neuneu2k

Invité jabial

Archivé

Naviguer

Activité