SSL - TLS. Histoire, fonctionnement Sécurité et failles

Documents pareils

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Les certfcats. Installation de openssl

«Intimité et données privées sur Internet, qui se goinfre, comment se protéger?» La Quadrature du Net

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Méthode 1 : Mise en place IPSEC

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Déploiement d OCS 1.02 RC2 sous Debian Etch 64

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

SSH, le shell sécurisé

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Sécurité du Système d Information. Mini PKI

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Installation GLPI-OCSNG-SSL Linux Debian Sarge

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

Les infrastructures de clés publiques (PKI, IGC, ICP)

Instructions Mozilla Thunderbird Page 1

La citadelle électronique séminaire du 14 mars 2002

Acronymes et abréviations. Acronymes / Abbréviations. Signification

Utilisation des certificats X.509v3

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Autorité de certification

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

2013 Installation de GLPI-OCS. Florian MICHEL BTS SIO LYCEE SAINTE URSULE

Les certificats numériques

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Devoir Surveillé de Sécurité des Réseaux

CONFIGURATION DE OPENVPN AVEC CLIENT FEDORA ET CLIENT WINDOWS. Distribution : Fedora 14 Noyau GNU/Linux : Version document : 1

Action Spécifique Sécurité du CNRS 15 mai 2002

Architectures PKI. Sébastien VARRETTE

Installation et utilisation d'un certificat

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Certificats et infrastructures de gestion de clés

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Sécurité des réseaux sans fil

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Protocole industriels de sécurité. S. Natkin Décembre 2000

Du 03 au 07 Février 2014 Tunis (Tunisie)

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Le protocole sécurisé SSL

Réaliser un inventaire Documentation utilisateur

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Serveur Web Apache - SSL - PHP Debian GNU/Linux

Matthieu Herrb Octobre Accès distants sécurisés - 18 octobre

Cours 14. Crypto. 2004, Marc-André Léger

Une introduction à SSL

Projet de mise en œuvre d un serveur ftp sur serveur dédié

Fonctionnement des PKI Architecture PKI

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Gestion des certificats en Internet Explorer

«La Sécurité des Transactions et des Echanges Electroniques»

Livre blanc. Sécuriser les échanges

VTP. LAN Switching and Wireless Chapitre 4

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Module 7 : Configuration du serveur WEB Apache

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Kerberos en environnement ISP UNIX/Win2K/Cisco

Dans l'épisode précédent

Accès aux ressources informatiques de l ENSEEIHT à distance

Supervision et infrastructure - Accès aux applications JAVA. Document FAQ. Page: 1 / 9 Dernière mise à jour: 15/04/12 16:14

Sécurité WebSphere MQ V 5.3

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Mai 2013

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Signature électronique. Romain Kolb 31/10/2008

S8 - Sécurité IBM i : nouveautés 6.1 et 7.1

TP 2 : Chiffrement par blocs

Gui!aume THIRION - Bac Pro MRIM

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

Programmation Réseau SSH et TLS (aka SSL)

Procédures informatiques administrateurs Création d un serveur FTP sous Linux

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

Mise en œuvre d'une PKI avec OpenCA

La sécurité avec SSH. Atelier cctld Dakar, Sénégal. Hervey Allen

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Étape 1 : gérer les certificats

27/11/12 Nature. SDK Python et Java pour le développement de services ACCORD Module(s)

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

Procédure d'installation

TUNIS LE : 20, 21, 22 JUIN 2006

Mise en place d un serveur HTTPS sous Windows 2000

Gestion des prestations Volontaire

Application Form/ Formulaire de demande

Installation et configuration de Vulture Lundi 2 février 2009

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Transcription:

SSL - TLS Histoire, fonctionnement Sécurité et failles

1. SSL/TLS qu'est-ce que c'est? Chiffrement Authentification faible du serveur Authentification forte du serveur (EV, facultative) Authentification du client (facultative) 1995 2013

2. SSL, Histoire 1994-1996 : Netscape développe SSL (1988)-1995 : la norme X.509 de certificats 1995 : création de Thawte & Verisign 1999-2008-2011 : l'ietf et TLS, les RFC 2005 : CA/Browser Forum & Extended Validation

3. TLS, Aujourd'hui On utilise TLS habituellement dans HTTPS Les autres protocoles ont été mis à jour pour savoir utiliser SSL/TLS aussi Exemple : pop(s) imap(s), smtp(s), puis pop+starttls, imap+starttls, smtp+starttls Autres protocoles : xmpp, vnc, ftp, irc D'autres protocoles utilisent identification et chiffrement, mais sans SSL/TLS Exemple : DNS > DNSSEC, RSH > SSH

4. Exemple de session TLS http://brassens.heberge.info/form.php sudo tcpdump -n 'host 91.194.60.2' -A On voit les informations passer en clair https://brassens.heberge.info/form.php On voit l'échange TLS et les données chiffrées L'identité est assurée par un certificat SSL

4. Exemple de session TLS La poignée de main SSL/TLS Client Serveur Envoi du message de bienvenue Algorithmes préférés, nombre aléatoire Algorithme choisi, nombre aléatoire Envoi du message de bienvenue Authentification du serveur Génère un nombre aléatoire et le signe avec la clé publique du serveur Calcul de la clé de session Clé «Pré-master» chiffrée Certificat et chaîne de certificats éventuelle Déchiffre et garde la clé pre-master Calcul de la clé de session Message «prêt» Message «prêt»

5. Le certificat SSL/TLS à la norme X.509 Le certificat précise le nom DNS Il indique des dates de validité Et le signataire Le navigateur affiche l'empreinte Et l'usage autorisé (ici serveur SSL)

5. Le certificat SSL/TLS à la norme X.509 Le certificat précise le nom DNS Il indique des dates de validité Et le signataire Le navigateur affiche l'empreinte Et l'usage autorisé (ici serveur SSL)

6. Les autorités de certifications (CA) Émettent un document décrivant leur processus Disposent d'une clé privée dont la clé publique est dans les logiciels clients Signent un ou plusieurs Registration Authority (RA) Qui signent à leur tour des requêtes de certificats spécifiques Les rôles possibles : Les niveaux de vérification : class1, class2, EV. SSL, SMIME, Software Signing, Timestamping, EV

7. Les normes techniques, X.509, PEM, PKCS X.500 est une norme d'annuaire de l'itu (branche telecom de l'onu) Pas ou peu utilisée, LDAP en est la version légère X.509 est la sous-norme décrivant les certificats On utilise aussi les normes PKCS#1 à 15, mises au point par RSA Dont certaines ont été portées en RFC Qui décrivent les formats de stockage et de transport des objets cryptographiques Tout cela fut ajouté à Netscape Navigator via une librairie nommée NSS (Network Security Services). L'autre librairie libre connue étant OpenSSL

8. Les objets en jeu dans SSL/TLS Clé RSA Requête de certificat Certificat Certificat de révocation -----BEGIN ENCRYPTED PRIVATE KEY----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI5U2RQAlQ52YCAggA MBQGCCqGSIb3DQMHBAgYgMlI73qXVwSCBMjofM2xKsB6a37xwIc0Qa+gahixAUNn JJifXkkz0Kx9zHGKZ2nXdSn2WaVZTKLJJiPcxZf8Cqjewjr/PUL/zFnOBBCwy2Bw S8sOnR9PmmkrugM1uxePJNJ5GQKsjx6cmNcD3+ejh/qx2lRne5OLuKUroGQZJK4Z ax4= -----END ENCRYPTED PRIVATE KEY----- -----BEGIN CERTIFICATE REQUEST----- MIICVzCCAT8CAQAwEjEQMA4GA1UEAxMHdGVzdC5mcjCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBALanq4mkWlWwE7GDVOQTu9JBf0QNSGyDFgswf5Dt6/EM okqkgou6earkmzhesoat61qp5tmidyn/j003rpftollz3fy+scbtarfsko1amgo3 AF60Z4tHDkbXKREoo6Nr3tcShtN6soajFfswAv5SYWcGvTTE1bhIzS1Yc6vV0NJd luyk7fgfneu7tpxgcowkzogcxdpoe4mg5ipl -----END CERTIFICATE REQUEST----- -----BEGIN CERTIFICATE----- MIIGajCCBVKgAwIBAgIDC9DOMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYDVQQGEwJJ TDEWMBQGA1UEChMNU3RhcnRDb20gTHRkLjErMCkGA1UECxMiU2VjdXJlIERpZ2l0 YWwgQ2VydGlmaWNhdGUgU2lnbmluZzE4MDYGA1UEAxMvU3RhcnRDb20gQ2xhc3Mg +fipdrsati2drdj+8pezb6h5vjdnrqnfbmgl/jsr7+8bsti59ddfwakqkdqxuohi qlwfq8ggwfl98xijabnpo3wvm7joowucpkctqwjx891xwnbeeg6djnnywdw3fl8d PNAhEgWW06fnKAdNY2I= -----END CERTIFICATE----- -----BEGIN X509 CRL----- MIJy2jCCccIwDQYJKoZIhvcNAQEFBQAwgYwxCzAJBgNVBAYTAklMMRYwFAYDVQQK Ew1TdGFydENvbSBMdGQuMSswKQYDVQQLEyJTZWN1cmUgRGlnaXRhbCBDZXJ0aWZp Y2F0ZSBTaWduaW5nMTgwNgYDVQQDEy9TdGFydENvbSBDbGFzcyAyIFByaW1hcnkg GkXllImV2lLMiccn2PvaWQfRUvF7GEVA2bSnfpvomSBx6J3ViWb9blLnJjS3sV5g 1rZ3hbbmf1IBU7CrYxRJd4jzobc9mH/YPC9FnviwsuKAe5v+SyLXHLSRtsOzoMKQ mjr5iwregsvsvvkipafsy3peibbc3jrpergy/hth -----END X509 CRL-----

9. En pratique : génération d'un certificat X.509 Utilisation de la libssl / Openssl Fichier de configuration minimal > Lignes de commandes v $ openssl req -new -config openssl.cnf Generating a 2048 bit RSA private key......+++...+++ writing new private key to 'privkey.pem' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Votre nom de domaine []:example.com Votre Adresse Email []: -----BEGIN CERTIFICATE REQUEST----- MIICWzCCAUMCAQAwFjEUMBIGA1UEAxMLZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3 DQEBAQUAA4IBDwAwggEKAoIBAQChfAR9Ta9+99e0IM3tsONSXV1mGZfp+LMoTl48 IY4LayF/xGEuL+VhwNq6XlfZRbwwZwu4zP7aNI2tdxukWKCgs84yRPG+i27cJsCj ltzh2zf16nuky0dxjsqgo0ccckyxbfdblhr1y+6bmuovy8qcmn78yz7ypj8star7 08HhX3s/6shQFlQD0sT+SY7Z9VSt1YnbyA19q3kA2Pr3oVumRTac9d/fvhl/aZlU 7hwWq1b/zIXOpCyIsJPllCVb1N8mp75vRbLIdehCKI+9cPIrLM1fwuKO4sVdv5mD wzfkppau52wxohg41wocswxx6g1elhrxybzzujnxiw== -----END CERTIFICATE REQUEST----- HOME =. RANDFILE = $ENV::HOME/.rnd oid_section = new_oids [ new_oids ] [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name attributes = req_attributes string_mask = nombstr [ req_distinguished_name ] commonname = Votre nom de domaine commonname_max = 256 emailaddress = Votre Adresse Email emailaddress_max = 256 [ req_attributes ]

9. En pratique : génération d'un certificat X.509 Déprotection de la clé RSA Récupération du certificat Et du certificat chaîné (intermédiaire / RA) $ openssl rsa -in privkey.pem -out example.com.key Enter pass phrase for privkey.pem: writing RSA key $ cat example.com.key -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAoXwEfU2vfvfXtCDN7bDjUl1dZhmX6fizKE5ePBmb9AK1n5pN rlnqyvjv5rpa8yqqfn/0oxsxw3aqbstccght1as2m78uz62r5or5kbk/hifa1lf1 dibuhxia+tmhdok6e5lh14uvfsm0vuao7dqq7r6/spx4fp1vud4syy2w6p3jrupr nzt0knj4de5kiz6c7zf7uaknnppouwq+hjnh9p8kovqll8f0uh/nhq== -----END RSA PRIVATE KEY----- À la fin, on obtient les fichiers suivants :.key (clé RSA).csr (requête de certificat).crt (Certificat X.509).chain (Certificat de l'intermédiaire).crt+chain et.all (les.crt.key.chain mis bout à bout, utile pour certains logiciels)

10. Exemples de tunnel SSL via openssl Exemple de requête HTTP : telnet 91.194.60.2 80 GET /form.php HTTP/1.0 Host : brassens.heberge.info Exemple de requête HTTPS : openssl s_client -host 91.194.60.2 -port 443 -CAfile /etc/ssl/certs/ca-certificates.crt... GET /form.php HTTP/1.0 Host : brassens.heberge.info On peut aussi montrer STARTTLS : Exemple de dialogue SMTP : telnet 91.194.60.2 25 Exemple de dialogue SMTP + STARTTLS : openssl s_client -host 91.194.60.2 -port 25 -CAfile /etc/ssl/certs/ca-certificates.crt -starttls smtp

11. De bons outils autour de SSL/TLS LibSSL / OpenSSL SSL Observatory HTTPS Everywhere SSL Labs Tcpdump Dsniff (webmitm) openssl.org eff.org/observatory eff.org/https-everywhere ssllabs.com tcpdump.org monkey.org/~dugsong/dsniff/

12. Les attaques possibles sur SSL/TLS MD5 considered harmful MITM (volontaire ou frauduleux) CRIME BEAST Rogue Certificate win.tue.nl/hashclash/rogue-ca/ bit.ly/q8061m (ssl labs) bortzmeyer.org/beast-tls.html Rogue Autority Sécurité logicielle (affaiblir, trouer, divulguer les clés, choisir les ellipses ;) ) Out-of-band (écoutons E. Snowden & B. Schneier ;) ) «Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.» «Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.» schneier.com/blog/archives/2013/09/how_to_remain_s.html

13. principes techniques évolués PFS (««Perfect»» Forward Secrecy) Choix des algorithmes de chiffrement (dans OpenSSL) SNI (Server Name Indication) subjectaltname (certificats multi domaines) Wildcards Certificats EV Certificats Clients S/Mime OCSP TLSA/DANE & DNSSEC

13. principes techniques évolués PFS (««Perfect»» Forward Secrecy) exemple Diffie Hellmann elliptic curves

13. principes techniques évolués Choix des algorithmes de chiffrement (dans OpenSSL) Keygen Asymmetric Symmetric Chaining Signature RSA RSA AES128/256 CBC SHA256 DHE DSA CAMELLIA GCM SHA384 ECDHE 3DES EBC MD5............... ECDHE-RSA-AES256-GCM-SHA512 (256 bits) DES-CBC-SHA (56 bits)

14. Installation et configuration de SSL/TLS pour vos logiciels préférés Apache (2.4) Nginx Lighttpd Proftpd Prosody Postfix Dovecot...

14. Installation et configuration de SSL/TLS Apache2.4 : <VirtualHost _default_:443> ServerAdmin webmaster@octopuce.fr DocumentRoot /var/www SSLCertificateFile /etc/ssl/private/octopuce.fr.crt SSLCertificateChainFile /etc/ssl/private/octopuce.fr.chain SSLCertificateKeyFile /etc/ssl/private/octopuce.fr.key SSLEngine on SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1 SSLCompression off SSLHonorCipherOrder on # SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA- AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256- SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM- SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4- SHA:AES256-GCM-SHA384:AES256-SHA256:CAMELLIA256-SHA:ECDHE-RSA-AES128-SHA:AES128- GCM-SHA256:AES128-SHA256:AES128-SHA:CAMELLIA128-SHA SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM Header set Strict-Transport-Security "max-age=2678400"... </VirtualHost>

14. Installation et configuration de SSL/TLS Nginx : server { listen 443; ssl on; ssl_certificate /etc/ssl/private/octopuce.fr.crt+chain; ssl_certificate_key /etc/ssl/private/octopuce.fr.key; ssl_session_timeout 5m; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA- AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256- SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM- SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4- SHA:AES256-GCM-SHA384:AES256-SHA256:CAMELLIA256-SHA:ECDHE-RSA-AES128-SHA:AES128- GCM-SHA256:AES128-SHA256:AES128-SHA:CAMELLIA128-SHA; ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM; ssl_dhparam /etc/ssl/private/dh2048.pem; } add_header Strict-Transport-Security max-age=2678400; openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048

14. Installation et configuration de SSL/TLS Lighttpd : $SERVER["socket"] == "0.0.0.0:443" { ssl.engine = "enable" ssl.pemfile = "/etc/ssl/private/octopuce.fr.key+crt" ssl.ca-file = "/etc/ssl/private/octopuce.fr.chain" # ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256- SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4- SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA- AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128- SHA:RC4-SHA:AES256-GCM-SHA384:AES256-SHA256:CAMELLIA256-SHA:ECDHE-RSA-AES128- SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:CAMELLIA128-SHA" ssl.cipher-list = "ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM" ssl.honor-cipher-order = "enable" setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=2678400") }

14. Installation et configuration de SSL/TLS Prosody : ssl = { key = "/etc/ssl/private/octopuce.fr.key"; certificate = "/etc/ssl/private/octopuce.fr.crt+chain"; } -- Only allow encrypted streams? Encryption is already used when -- available. These options will cause Prosody to deny connections that -- are not encrypted. Note that some servers do not support s2s -- encryption or have it disabled, including gmail.com and Google Apps -- domains. c2s_require_encryption = true s2s_require_encryption = true + copier le bloc SSL = { } dans tout VirtualHost. IMPORTANT

14. Installation et configuration de SSL/TLS Proftpd : <IfModule mod_tls.c> TLSEngine TLSLog TLSProtocol TLSCipherSuite TLSRSACertificateFile TLSRSACertificateKeyFile on /var/log/proftpd/tls.log TLSv1 ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM /etc/ssl/private/octopuce.fr.crt+chain /etc/ssl/private/octopuce.fr.key TLSRenegotiate TLSOptions TLSVerifyClient TLSRequired </IfModule> required off NoCertRequest EnableDiags NoSessionReuseRequired off on # facultatif...

14. Installation et configuration de SSL/TLS Postfix : # TLS parameters smtpd_tls_cert_file = /etc/ssl/private/octopuce.fr.crt+chain smtpd_tls_dcert_file = $smtpd_tls_cert_file smtpd_tls_key_file = /etc/ssl/private/octopuce.fr.key smtpd_tls_dkey_file = $smtpd_tls_key_file smtpd_tls_cafile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = anull, MD5 smtpd_tls_dh1024_param_file = /etc/ssl/private/dh2048.pem smtpd_use_tls = yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_protocols =!SSLv2!SSLv3 smtpd_tls_received_header = yes smtp_tls_cert_file = $smtpd_tls_cert_file smtp_tls_dcert_file = $smtpd_tls_dcert_file smtp_tls_key_file = $smtpd_tls_key_file smtp_tls_dkey_file = $smtpd_tls_dkey_file smtp_tls_cafile = $smtpd_tls_cafile smtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers smtp_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers smtp_use_tls = yes smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_tls_protocols =!SSLv2!SSLv3 smtp_tls_secure_cert_match = nexthop, dot-nexthop Voir http://www.postfix.org/tls_readme.html pour plus de détails.

14. Installation et configuration de SSL/TLS Dovecot : ssl = yes ssl_cert = </etc/ssl/private/octopuce.fr.crt+chain ssl_key = </etc/ssl/private/octopuce.fr.key ssl_protocols =!SSLv2:!SSLv3 ssl_cipher_list = ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM

des questions? mailto : benjamin@sonntag.fr xmpp : benjamin@mailfr.com pgp : 0x586073E6 et... surfez couvert ;)

Edward Snowden : «Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.» «Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.»