Bonjour,
Des NIC Intel à 25€ sur eBay, oui, c'est effectivement tout à fait adapté. J'en trouve même d'origine Sun/Oracle, à base de i350, à pas cher. J'ai aussi mon coté pingrono-masochiste a vouloir faire fonctionner ce que j'ai dans mes placard ;) Et en ce moment j'ai plein de temps à perdre. Je te laisse voir mes entêtes de mails pour ma localisation. Cordialement, Le 29/03/2020 à 16:59, Jean-Francois Billaud via FRsAG a écrit : > ANSSI Agence nationale de la sécurité des systèmes d'information > Recommandations de sécurité relatives à TLS - Version 1.2 - 26/03/2020 > https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/ > Licence ouverte / Open Licence (Etalab v1) : > https://www.etalab.gouv.fr/licence-ouverte-open-licence > > Pas de surprises dans ces recommandations. > La version précédente 1.1 datait du 19/08/2016. > > Les protocoles recommandés : > TLS v1.2, TLS v1.3 > RSA ECDSA > ECDHE secp256r1,secp384r1,secp521r1 (NIST), x25519, x448, > brainpoolP256r,brainpoolP384r, brainpoolP512r1 > DHE 2048 bits 3072 bits ou plus > AES ChaCha20 Camellia ARIA > GCM, CCM, CBC (sous condition) > SHA256 SHA384 > Pas de compression > ... > > Suites recommandées en annexe A > > Exemples d'application en annexe B > - Application à la compilation de OpenSSL > - Application à la configuration de modules applicatifs pour Apache [orienté > serveur public] et NGINX [client maîtrisé] > > Pas de recommandation pour le mail (SMTP + StartTLS) ni DOH ni DOT > > Pas de lien vers des outils de test. > > > Avis personnel pour tout ce qui suit : > - brainpool Camellia ARIA inutiles si l'on ne maîtrise pas serveur et client > maison (ces protocoles ne sont pas implémentés > dans les navigateurs courants) > - CCM est à réserver pour l'Internet des objets (pas implémenté dans les > navigateurs courants) > - on peut privilégier x25519, x448 sur les courbes du NIST (question de > confiance) > - x448 peut servir dans le cas de serveurs mandataires > - dans le cas de SMTP + StartTLS, on observe qu'il y a toujours des acteurs > majeurs qui sont restés à TLS 1.0, il est > donc difficile de ne garder que TLS v1.2 et TLS v1.3 > > Pour HTTPS une configuration pourrait être : > TLS v1.2, v1.3 > certificats ECDSA - RSA 4096 bits > paramètres DH ffdhe4096.pem > courbes X448:X25519:secp521r1:secp384r1:prime256v1 > suites > TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256; > (à adapter selon les goûts personnels) > > Pour SMTP + StartTLS une configuration pourrait être : > TLS v1, v1.1, v1.2, v1.3 > certificats ECDSA - RSA 4096 bits > paramètres DH ffdhe4096.pem > courbes X448:X25519:secp521r1:secp384r1:prime256v1 > suites > TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256; > (à adapter si pas besoin de TLS v1 et v1.1) > > Les outils de test : > Qualys SSL Server Test : https://www.ssllabs.com/ssltest/index.html > Internet.nl : https://internet.nl/ > Hardenize.com : https://www.hardenize.com/ > STARTTLS Everywhere : https://starttls-everywhere.org/ > CryptCheck : https://tls.imirhil.fr/ > > Pour les enregistrements DANE TLSA (3 1 1 et 2 1 1 recomandés) : > chaingen de Viktor Dukhovni : https://go6lab.si/DANE/chaingen > hash-slinger : https://github.com/letoams/hash-slinger > > > JFB > > PS Message sous licence CC0, règles de Croker applicables. > _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
