Projet

Général

Profil

Tâche #11329

Distribution EOLE - Scénario #10951: Désactiver le protocole SSLv3 sur les services web

Désactiver le SSLv3 sur EoleSSO

Ajouté par Joël Cuissinat il y a presque 9 ans. Mis à jour il y a presque 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
20/04/2015
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
Restant à faire (heures):
0.0

Demandes liées

Lié à Distribution EOLE - Scénario #11490: Réactiver SSLv3 sur les projets python Terminé (Sprint) 13/05/2015 29/05/2015

Révisions associées

Révision 93d6fc97 (diff)
Ajouté par Laurent Flori il y a presque 9 ans

Désactivation du SSLv3

  • eolesso/libsecure.py: ctx = SSL.Context(protocol='tlsv1')

refs: #11329 @1h

Révision b778584d (diff)
Ajouté par Laurent Flori il y a presque 9 ans

Désactivation du SSLv3

  • eolesso/libsecure.py: ctx = SSL.Context(protocol='tlsv1')

refs: #11329

Historique

#1 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Tâche parente mis à #10951

#2 Mis à jour par Laurent Flori il y a presque 9 ans

  • Assigné à mis à Laurent Flori

#3 Mis à jour par Laurent Flori il y a presque 9 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 2.0 à 0.25

#5 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Statut changé de En cours à Résolu

#6 Mis à jour par Daniel Dehennin il y a presque 9 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

Ok avec eole-sso version 2.4.1-10 en eole-2.4.1-proposed-updates

gnutls-cli-debug -p 8443 scribe.ac-test.fr
Warning: getservbyport(8443) failed. Using port number as service.
GnuTLS debug client 3.3.15
Checking scribe.ac-test.fr:8443
                             for SSL 3.0 (RFC6101) support... no
                        whether we need to disable TLS 1.2... no
                        whether we need to disable TLS 1.1... no
                        whether we need to disable TLS 1.0... no
                        whether %NO_EXTENSIONS is required... no
                               whether %COMPAT is required... no
                             for TLS 1.0 (RFC2246) support... yes
                             for TLS 1.1 (RFC4346) support... no
                                  fallback from TLS 1.1 to... TLS 1.0
                             for TLS 1.2 (RFC5246) support... no
                               for certificate chain order... sorted
                  for safe renegotiation (RFC5746) support... yes
                           for heartbeat (RFC6520) support... no
                       for version rollback bug in RSA PMS... no
                  for version rollback bug in Client Hello... no
            whether the server ignores the RSA PMS version... no
            whether small records (512 bytes) are accepted... yes
    whether cipher suites not in SSL 3.0 spec are accepted... yes
whether a bogus TLS record version in the client hello is accepted... yes
         whether the server understands TLS closure alerts... no
            whether the server supports session resumption... no
                      for anonymous authentication support... no
                      for ephemeral Diffie-Hellman support... no
                   for ephemeral EC Diffie-Hellman support... no
                  for AES-128-GCM cipher (RFC5288) support... no
                  for AES-128-CBC cipher (RFC3268) support... yes
             for CAMELLIA-128-GCM cipher (RFC6367) support... no
             for CAMELLIA-128-CBC cipher (RFC5932) support... yes
                     for 3DES-CBC cipher (RFC2246) support... yes
                  for ARCFOUR 128 cipher (RFC2246) support... yes
                                       for MD5 MAC support... no
                                      for SHA1 MAC support... yes
                                    for SHA256 MAC support... no
                              for ZLIB compression support... no
                     for max record size (RFC6066) support... no
                for OCSP status response (RFC6066) support... no
              for OpenPGP authentication (RFC6091) support... no

NB: le SSLv3 est désactivé mais j’ai un doute sur le 3DES-CBC.

Formats disponibles : Atom PDF