Pierre-Alain Bandinelli : Obtenir une bonne note chez SSLLabs avec Pound
lundi 10 novembre 2014 à 07:53J'utilise Pound dans mon infrastructure, notamment pour sa capacité d'assurer tout le chiffrement en SSL/TLS entre mes serveurs et les clients.
Cependant, la version stable de Pound dans Debian Wheezy n'est pas patchée pour écarter les récentes "attaques" sur SSL/TLS à commencer par la corruption de SSLv3 (faille baptisée Poodle).
Si la version 2.7, la prochaine stable, disposera de tous les derniers raffinements, seule une branche non officielle pourra satisfaire le plus scrupuleux adminsys. Cette branche non officielle est maintenue par Joe Gooch (qu'il soit permis ici de le remercier !) et est disponible ici : https://github.com/goochjj/pound/tree/pcidss/v2.6.
Voici comment Joe décrit cette branche :
The other is called pcidss/v2.6, which is Pound 2.6, plus cipher and protocol patches necessary (initially) to pass PCI compliance, and as part of that is the directive to disable SSL3.
Compiler Pound 2.6-pcidss
- Télécharger la dernière version ici : https://github.com/goochjj/pound/archive/pcidss/v2.6.zip
- Dé-zipper l'archive et se rendre dans le dossier
- Réaliser ensuite la compilation (le système devra bien sûr comporter tout le nécessaire à cela : gcc, build-essentials, libssl-dev...) :
./configure make make install
- dans Debian, il semble que pound 2.6-pcidss s'installe dans /usr/local/sbin/pound alors que le paquet original l'installe dans /usr/sbin/pound. On peut donc remplacer l'ancienne version par la nouvelle et vérifier que l'utilitaire par défaut correspond bien à la nouvelle version :
pound -V
qui doit retourner 2.6-pcidss.
- on peut alors modifier la configuration de Pound avec ces paramètres :
DisableSSLv2
DisableSSLv3
Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
SSLHonorCipherOrder 1
SSLAllowClientRenegotiation 0
- et redémarrer Pound
Normalement, vous devriez désormais disposer d'un chiffrement SSL de qualité susceptible de vous faire obtenir un A (yes!) sur https://www.ssllabs.com/ssltest/ (si votre certificat est de bonne qualité - SSLLabs disqualifie tout de suite tout certificat auto-signé !).
Original post of Pierre-Alain Bandinelli.Votez pour ce billet sur Planet Libre.
Articles similaires
- Pierre-Alain Bandinelli : StartSSL pour des certificats SSL "wildcard" à petit prix (10/11/2014)
- Pierre-Alain Bandinelli : Installation et paramétrage d'un serveur avec conteneurs LXC chez Online.net/Dedibox (10/11/2013)
- Jopa : A « Tor » et à travers (d’Internet)… (26/06/2010)
- Benkemoun : Génération de certifications OpenVPN par lots avec pkitool (24/08/2010)
- C-quad : Accéder à Internet sous Fedora en étant derrière un proxy Microsoft (13/04/2011)