SSL TLS1.2 avec Apache non pris en compte

jimbo · Mai 13, 2017, 10:57am

Salut,

je joue avec mon serveur perso et les certificats pour obtenir un A+ sur SSL lab. Dans ma configuration j’ai activé seulement le TLS1.2 mais lors tu tests il voit les versions 1.0 et 1.1. Es ce que vous auriez une idée de pourquoi ?

apache2 -v
Server version: Apache/2.4.25 (Debian)
Server built: 2017-01-25T22:59:26

j’ai utilisé la version testing de apache en mettant une priorité dans la sourcelist

j’ai migré a openssl 1.0.2 :
openssl version
OpenSSL 1.0.2k 26 Jan 2017

dans le vhost j’ai
SSLProtocol -all +TLSv1.2

je ne comprends pas pourquoi il négocie sur du TLS 1.0 et 1.1
de même pour le SSLCipherSuite, j’ai pourtant entré que des 256 ou plus et il continue de voir du 128 lors du test…

MicP · Mai 13, 2017, 11:59am

Bonjour jimbo

Pourrais-tu nous transmettre un lien vers le serveur “SSL Lab” que tu utilise pour faire tes tests ?

Merci.

jimbo · Mai 13, 2017, 12:01pm

https://www.ssllabs.com/ssltest/analyze.html?d=jimbowarrior.noip.me

MicP · Mai 13, 2017, 2:39pm

Merci pour le retour

Je me pose beaucoup de questions, comme de savoir quel certificat tu utilise,
et pourquoi tu n’as pas trouvé de réponses ou/et conseils de configuration dans les liens proposés en fin de test.

Mais j’en connais trop peu pour pouvoir t’aider, et plutôt que de te poser des questions inutiles qui te feraient perdre du temps, je préfère attendre : il y aura sans doute quelqu’un de beaucoup plus compétent que moi qui viendra t’aider.

David_5.1 · Mai 14, 2017, 5:58pm

Il me semble que par défaut certbot (le client pour obtenir des certs Let’s Encrypt) propose une configuration d’apache relativement laxiste. Tu n’aurais pas dans la configuration de ton VHOST une ligne pour inclure ce genre de configuration ?

Dans tous les cas, inutile d’avoir des paquets de stretch pour ne proposer que du TLS1.2.

jimbo · Mai 14, 2017, 7:09pm

oui je l’ai ajouter la ligne pour autoriser que le 1.2 mais il ne la prend pas en compte et je ne sais pas pourquoi ?
j’ai ajouté différent setting du vhost ssl pour obtenir le A+ deja

David_5.1 · Mai 14, 2017, 7:30pm

Ce que je disais, c’est qu’il est possible que la ligne soit écrasée par une autre dans un autre fichier de conf, par exemple /etc/letsencrypt/options-ssl-apache.conf s’il est inclus d’une façon ou d’une autre…

jimbo · Mai 14, 2017, 7:53pm

ah merci j’avais cette ligne qui traînait dans ma conf du vhost

Include /etc/letsencrypt/options-ssl-apache.conf

je pouvais toujours essayer
bon merci en tout cas.
Il me reste les cipher à améliorer et les keys exchange mais la je ne vois pas pourquoi.

David_5.1 · Mai 14, 2017, 8:12pm

Tu peux passer le fil en résolu normalement

Et râler contre let’s encrypt qui pousse une conf pas top par défaut
En vrai, let’s encrypt est en partie pour des gens qui auraient sinon mis leur site juste en HTTP, donc c’est plutôt cohérent comme conf, parce que ça doit permettre de se connecter même avec des trucs qu’on aimerait ne plus voir que dans des musée comme IE 6.