Page 1 sur 1

SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : dim. 8 mars 2020 16:14
par christophe14
Bonjour,

En parcourant la page https://www.zaclys.com/cloud/, il est proposé de tester la sécurité du protocole de transport SSL/TLS utilisé par vos serveurs Nexcloud.

6. Les serveurs clouds de la mère Zaclys sont sécurisés ?
Test SSL Labs : https://www.ssllabs.com/ssltest/analyze ... zaclys.com


Le test montre que le serveur supporte toujours non seulement des protocoles dépréciés (TLS 1.0 et TLS 1.1) mais aussi des algorithmes de chiffrement faibles (3DES,...).

Le tableau suivant "Cipher security against publicly known feasible attacks" peut vous aider à réaliser la bonne configuration :
https://en.wikipedia.org/wiki/Transport_Layer_Security

Pour information, un pentest professionnel releverait ce point comme un risque d'un niveau modéré.

Avez-vous prochainement prévu de revoir complètement la configuration TLS de vos différents serveurs et le mettre à l'état de l'art ?

Re: SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : dim. 8 mars 2020 18:04
par mdhooge
Hello,

Je vais répondre un peu à côté, mais tant pis, j'assume. :mrgreen: Et toutes les références fournies pointent vers des sites en anglais et sont excessivement techniques. :geek:

En cherchant à sécuriser ma navigation, j'ai trouvé ce site qui a des informations très détaillées sur comment configurer son firefox (et pourquoi il ne faut pas utiliser Chrome…) : Firefox Configuration Guide for Privacy Freaks and Performance Buffs.
Il recommande, entre autre, d'utiliser un fichier user.js pour modifier de façon fiable, répétable et durable la configuration de son FF. Et il propose d'utiliser pour ça la version de ghacks-user.js.

La section 1200 de ce fichier traite de la partie HTTPS/TLS. Elle recense toutes les variables de configuration disponibles. Et certaines, pas forcément actives d'ailleurs par défaut, permettent de changer le comportement de FF pour qu'il refuse les protocoles les moins fiables.

Donc, indépendamment du score de Zaclys, ça peut être intéressant de demander à FF de refuser les échanges les moins fiables :D

Michel

Re: SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : lun. 9 mars 2020 22:11
par Bill
Bonjour

Merci de l’avoir signalé. Nous avons mis à jour la config SSL de tous nos serveurs web « apache » , ils sont remontés au niveau A+ sur le test SSL Labs.

https://www.ssllabs.com/ssltest/analyze ... zaclys.com

Re: SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : mar. 10 mars 2020 12:45
par mdhooge
mdhooge a écrit : dim. 8 mars 2020 18:04 [...] changer le comportement de FF pour qu'il refuse les protocoles les moins fiables.
A priori, avec la config par défaut, on est protégé…
Par exemple, sur le site "predemande-permisdeconduire.ants.gouv.fr" (un site officiel, donc :shock: ), je ne peux pas accéder à la page, car FF me dit :
Secure Connection Failed

An error occurred during a connection to predemande-permisdeconduire.ants.gouv.fr. Peer attempted old style (potentially vulnerable) handshake.

Error code: SSL_ERROR_UNSAFE_NEGOTIATION

Re: SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : mar. 10 mars 2020 22:49
par christophe14
Bonsoir,

Si la configuration est changée au niveau des serveurs, alors tous les utilisateurs en bénéficient.

mdhooge a écrit : dim. 8 mars 2020 18:04 Hello,

Je vais répondre un peu à côté, mais tant pis, j'assume. :mrgreen: Et toutes les références fournies pointent vers des sites en anglais et sont excessivement techniques. :geek:

En cherchant à sécuriser ma navigation, j'ai trouvé ce site qui a des informations très détaillées sur comment configurer son firefox (et pourquoi il ne faut pas utiliser Chrome…) : Firefox Configuration Guide for Privacy Freaks and Performance Buffs.
Il recommande, entre autre, d'utiliser un fichier user.js pour modifier de façon fiable, répétable et durable la configuration de son FF. Et il propose d'utiliser pour ça la version de ghacks-user.js.

La section 1200 de ce fichier traite de la partie HTTPS/TLS. Elle recense toutes les variables de configuration disponibles. Et certaines, pas forcément actives d'ailleurs par défaut, permettent de changer le comportement de FF pour qu'il refuse les protocoles les moins fiables.

Donc, indépendamment du score de Zaclys, ça peut être intéressant de demander à FF de refuser les échanges les moins fiables :D

Michel

Re: SSL Report : Rating B pour les instances Nexcloud Zaclys

Posté : mar. 10 mars 2020 22:53
par christophe14
Bonsoir,

Merci pour avoir mis à jour la configuration SSL/TLS des serveurs si rapidement !

Par contre, j'ai noté que seul le serveur https://acloud.zaclys.com supportait les protocoles TLS 1.2 et 1.3.
Est-ce normal ?
Bill a écrit : lun. 9 mars 2020 22:11 Bonjour

Merci de l’avoir signalé. Nous avons mis à jour la config SSL de tous nos serveurs web « apache » , ils sont remontés au niveau A+ sur le test SSL Labs.

https://www.ssllabs.com/ssltest/analyze ... zaclys.com