Tâche #30273
Mis à jour par Daniel Dehennin il y a presque 4 ans
Bonjour
nous avons aujourd'hui un eolesso en V. 2.5.2 (https://eolesso.ac-nice.fr)
Ce serveur a fait l'objet d'une alerte de sécurité de la part d'un utilisateur disant qu'il acceptait encore le protocole SSLV3 et que les suites de chiffrement supportées étaient obsolètes
Voici un extrait du message :
> Bien "Bien que le serveur https://eolesso.ac-nice.fr supporte le protocole TLS 1.2, les seules suites de chiffrement supportées sont trop faibles pour être encore sécurisées, et sont par conséquent bloquées par notre stratégie de sécurité. Je ne doute pas qu'elles le seront à plus grande échelle prochainement.
>
>
Pourriez-vous mettre à jour la configuration du serveur https://eolesso.ac-nice.fr, au moins en:
> * - Désactivant SSL3
> * - Désactivant les suites de chiffrement obsolètes
> * - Activant les suites de chiffrement modernes (notamment les suites ECDHE pour le support de PFS). PFS)."
Suite à cette alerte, nous avons voulu réaliser le test mis en place par le pôle national de compétences réseaux, disponible à l'adresse :
https://reseaux.in.orion.education.fr/testssl/ (accessible uniquement de la zone racine)
Or ce test non seulement n'arrive pas au bout, mais fait carrément planter notre eolesso.
<pre>
Voici les résultats du test :
-------------------------------------------------------------------
Test demandé par : 172.30.232.10
###########################################################
RESULTAT DU TEST TLS DE VOTRE SERVEUR HTTPS
par CRT RSO / PNCR
###########################################################
Start 2020-06-02 15:33:37 -->> 194.167.84.111:443 (eolesso.ac-nice.fr) <<--
rDNS (194.167.84.111): eolesso.ac-nice.fr.
Service detected: HTTP
Testing protocols via sockets except NPN+ALPN
SSLv2 not offered (OK)
SSLv3 offered (NOT ok)
TLS 1 Oops: TCP connect problem
Unable to open a socket to 194.167.84.111:443. Fixme: unexpected value around line 5345, rerun with DEBUG>=2 or --ssl-native
TLS 1.1
----------------------------------------------------------
</pre>
Il faut noter que suite au test, le service eolesso s'arrête, on est obligé de le relancer manuellement
Nous avons prévu de migrer notre eolesso en 2.6.2 cette semaine, toutefois nous voudrions savoir si cette migration corrigera les problèmes rencontrés
Nos questions sont les suivantes :
# 1) Etes-vous au courant de ces problèmes sur la version 2.5.2 et savez-vous si la mise à jour en 2.6.2 les corrige ?
# 2) Si ce n'est pas le cas, savez-vous si la mise à jour en 2.7 corrige les problèmes ?
# 3) Eventuellement, disposez-vous d'un eolesso de test en version 2.6.2 ou 2.7 sur lequel on pourrait lancer le test de Pôle de compétences réseaux, pour voir s'il aboutit et quels en sont les résultats ?
Merci d'avance
Cordialement
nous avons aujourd'hui un eolesso en V. 2.5.2 (https://eolesso.ac-nice.fr)
Ce serveur a fait l'objet d'une alerte de sécurité de la part d'un utilisateur disant qu'il acceptait encore le protocole SSLV3 et que les suites de chiffrement supportées étaient obsolètes
Voici un extrait du message :
> Bien "Bien que le serveur https://eolesso.ac-nice.fr supporte le protocole TLS 1.2, les seules suites de chiffrement supportées sont trop faibles pour être encore sécurisées, et sont par conséquent bloquées par notre stratégie de sécurité. Je ne doute pas qu'elles le seront à plus grande échelle prochainement.
>
>
Pourriez-vous mettre à jour la configuration du serveur https://eolesso.ac-nice.fr, au moins en:
> * - Désactivant SSL3
> * - Désactivant les suites de chiffrement obsolètes
> * - Activant les suites de chiffrement modernes (notamment les suites ECDHE pour le support de PFS). PFS)."
Suite à cette alerte, nous avons voulu réaliser le test mis en place par le pôle national de compétences réseaux, disponible à l'adresse :
https://reseaux.in.orion.education.fr/testssl/ (accessible uniquement de la zone racine)
Or ce test non seulement n'arrive pas au bout, mais fait carrément planter notre eolesso.
<pre>
Voici les résultats du test :
-------------------------------------------------------------------
Test demandé par : 172.30.232.10
###########################################################
RESULTAT DU TEST TLS DE VOTRE SERVEUR HTTPS
par CRT RSO / PNCR
###########################################################
Start 2020-06-02 15:33:37 -->> 194.167.84.111:443 (eolesso.ac-nice.fr) <<--
rDNS (194.167.84.111): eolesso.ac-nice.fr.
Service detected: HTTP
Testing protocols via sockets except NPN+ALPN
SSLv2 not offered (OK)
SSLv3 offered (NOT ok)
TLS 1 Oops: TCP connect problem
Unable to open a socket to 194.167.84.111:443. Fixme: unexpected value around line 5345, rerun with DEBUG>=2 or --ssl-native
TLS 1.1
----------------------------------------------------------
</pre>
Il faut noter que suite au test, le service eolesso s'arrête, on est obligé de le relancer manuellement
Nous avons prévu de migrer notre eolesso en 2.6.2 cette semaine, toutefois nous voudrions savoir si cette migration corrigera les problèmes rencontrés
Nos questions sont les suivantes :
# 1) Etes-vous au courant de ces problèmes sur la version 2.5.2 et savez-vous si la mise à jour en 2.6.2 les corrige ?
# 2) Si ce n'est pas le cas, savez-vous si la mise à jour en 2.7 corrige les problèmes ?
# 3) Eventuellement, disposez-vous d'un eolesso de test en version 2.6.2 ou 2.7 sur lequel on pourrait lancer le test de Pôle de compétences réseaux, pour voir s'il aboutit et quels en sont les résultats ?
Merci d'avance
Cordialement