-
Avis à tous les Ubuntistes ! Depuis 20.04 focal, openssl est compilé avec l’option « -DOPENSSL_TLS_SECURITY_LEVEL=2 ». Ça désactive pas mal de support de trucs obsolètes mais qui peuvent casser votre prod, au moins vos clients TLS vers de vieux backends de production peu/pasOn twitter.com
♻️ 4 Retweets
❤️ 13 Favorites
Mood +2 🙂
-
maintenus.Permalink On twitter.com
♻️ 1 Retweets
Mood 0
-
Vous pouvez débrayer possiblement cette sécurité au niveau de vos clients en définissant la cipher suite à « DEFAULT@SECURITY_LEVEL=1 », mais le mieux est encore de mettre à jour vos backends TLS pour supporter des trucs potables…Permalink On twitter.com
♻️ 1 Retweets
❤️ 1 Favorite
Mood +1 🙂
-
Par défaut par exemple, vous ne pouvez plus établir de connexion TLS avec un backend utilisant un certificat signé avec MD5 ou avec une clef de moins de 2048 bits en RSA/DH ou 224 bits en ECDSA. SSLv3 est désactivé, RC4 aussi.Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
Là où je rigole, c’est qu’une config décente en 2022 devrait tolérer un client compilé avec SECURITY_LEVEL=4. Je ne pense pas que beaucoup de vos productions soient prêtes pour ça 🤣Permalink On twitter.com
♻️ 1 Retweets
❤️ 1 Favorite
Mood 0
-
Qu’est-ce que le level 4 ? TLS1.2+, RSA/DH 7680+, ECDSA 384+, SHA1 désactivé pour MAC. En point bloquant pour vos prod je parie déjà pour ECDSA 384+ (coucou prime256v1 qui saute 🤣) et SHA1 pour MAC.Permalink On twitter.com
♻️ 2 Retweets
❤️ 3 Favorites
Mood 0
-
(RSA/DH 7680+, on est d’accord, ça veut dire plus de RSA/DH du tout hein ! Parce que des clefs à 8k, les perfs hein… 🤣)Permalink On twitter.com
Mood -5 🙁