Desactiver TLSv1.0-1

eloicf · August 10, 2017, 5:35pm

Bonjour à tous

je commence dans yunohost mais je rencontre un soucis

j’ai mon site qui fonctionne avec TLSv1.2 mais impossible de désactiver la V1.0 et 1.1

j’ai changé dans nginx.conf et domaine.conf (comprendre mon nom de domaine .conf )

savez-vous me dire comment désactiver TLSv1.0 et TLSv1.1 ? sachant que j’ai plus de trace de cela dans les fichiers .conf

Merci d’avance pour votre aide

Eloïc

genma · August 18, 2017, 2:05pm

Il nous faudrait un peu plus de précisions. Comment sais tu / peux tu dire que Tls v1.0 et 1.1 sont encore actifs?
Quel système utilises tu pour les certificats? Let’s encrypt ou le certificat autosigné qui est là par défaut à l’installation de Yunohost?

eloicf · August 18, 2017, 2:32pm

J utilise le site de aeris pour tester cela

C est un certificat let’s encrypt

D ailleurs j ai suivi ton Tuto sur ton site pour tout faire

ljf · August 19, 2017, 5:07pm

Yunohost utilise la configuration intermediaire proposée par Mozilla:

github.com

YunoHost/yunohost/blob/unstable/data/templates/nginx/server.tpl.conf#L31


server_name {{ domain }};


ssl_certificate /etc/yunohost/certs/{{ domain }}/crt.pem;
ssl_certificate_key /etc/yunohost/certs/{{ domain }}/key.pem;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:50m;


ssl_prefer_server_ciphers on;


# Ciphers with intermediate compatibility
# https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=nginx-1.6.2&openssl=1.0.1t&hsts=yes&profile=intermediate
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';


# Ciphers with modern compatibility
# https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=nginx-1.6.2&openssl=1.0.1t&hsts=yes&profile=modern
# Uncomment the following to use modern ciphers, but remove compatibility with some old clients (android < 5.0, Internet Explorer < 10, ...)
#ssl_protocols TLSv1.2;
#ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';


# Uncomment the following directive after DH generation

Il y a eu une Pull Request avec une discussion sur l’utilisation de la configuration moderne. Le soucis majeur c’est qu’un certain nombre d’équipements ne peuvent pas être mis à jour (smartphone) et ont besoin de ces protocoles et ciphers pour fonctionner. YunoHost ne connaissant pas les équipements des utilisateurs YunoHost ni ceux de leurs visiteurs, on a opté pour la version intermédiaire.

Dans la même version un système de settings a été conçu, afin de pouvoir proposer dans une version future à ceux qui le souhaite de passer à la configuration moderne. On en est resté là depuis la 2.6 .

Pour faire ce que tu souhaites (si tu as bien réfléchis à cette question d’accessibilité avec les équipements de tes visiteurs

Tu peux lancer:

sed -i s/TLSv1 TLSv1\.1 TLSv1\.2/TLSv1.2/ /etc/nginx/conf.d/*.conf
service nginx reload

Mais la mise à jour des confs nginx ne se fera plus automatiquement, tu devras fusionner à la main.