Alerter visiteurs bloqués par TLS

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Alerter visiteurs bloqués par TLS

Aerya

Salut,

J'ai un peu limité les ciphers de mon HTTPS du coup mon blog n'est pas accessible à tous. C'est pas grave en soi mais je voudrais savoir s'il existe une solution pour que les visiteurs bloqués (OpenSSL/navigateurs pas à jour etc) puissent avoir une info sur le moyen de se mettre à jour.

arckosfr

Normalement de base ils ont une exception de sécurité qui dit que le navigateur blabla plus à jours blabla
Mais sinon pas sur que ce soit gerable coté HTTP (dommage d'ailleur)

Aerya

Ouais en effet y'a une alerte mais j'aurais aimé pouvoir "leur en dire plus", notamment expliquer le Pourquoi. Parce que franchement les alertes des navigateurs sont aussi limpides que les commandes AS400...

arckosfr

Je ne peu que plussoyer ce que tu dit !

Hardware

@Aerya: Tu es un peu rude niveau choix des ciphers

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384

C'est limite niveau compatibilité, pour un bon équilibre sécurité/compatibilité, tu peux choisir des ciphers avec PFS seulement : EECDH+AES:EDH+AES+aRSA

# EECDH+AES:EDH+AES+aRSA

DHE-RSA-AES256-GCM-SHA384 
DHE-RSA-AES256-SHA 	
DHE-RSA-AES256-SHA256 	
ECDHE-ECDSA-AES256-GCM-SHA384 	
ECDHE-ECDSA-AES256-SHA 	
ECDHE-ECDSA-AES256-SHA384 
ECDHE-RSA-AES256-GCM-SHA384 	
ECDHE-RSA-AES256-SHA 	
ECDHE-RSA-AES256-SHA384 	
DHE-RSA-AES128-GCM-SHA256 	
DHE-RSA-AES128-SHA 	
DHE-RSA-AES128-SHA256 	
ECDHE-ECDSA-AES128-GCM-SHA256 	
ECDHE-ECDSA-AES128-SHA 	
ECDHE-ECDSA-AES128-SHA256 	
ECDHE-RSA-AES128-GCM-SHA256 	
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256

En choisissant ceux qui te conviennent dans cette liste, tu gardes un bon niveau de sécu tout en étant compatible avec 95% des navigateurs.

Sinon pour ta question, je pense pas que tu puisses mettre en place une info en cas de problème lors du handshake TLS, c'est le rôle du navigateur d'être le plus clair possible avec l'utilisateur et pour le moment c'est loin d'être le cas.

Aerya

Je verrai en effet si je baisse le niveau. Je me suis posé cette question du fait qu'un lecteur m'a remonté ne pas pouvoir s'abonner à mes RSS via un FreshRSS hébergé (en shared je suppose) chez OVH, sur OpenSSL 0.9.

Xavier m'a filé une piste en MP, je testerai quand j'en aurai le temps et ferai un retour mais j'ai pas envie de faire bosser mon serveur plus qu'il ne le faut.

Dans la plage accueil tu fait une 'include' du fichier style test-nav.php
Et devant faudrait mettre un bout de code pour test la version du navigateur et si trop vieux ouvrir un pop up. Pour avertir usager qui utilise une version trop ancienne..

arckosfr

Bah pour éviter la charge serveur, tu peux faire l équivalent en JavaScript, du coup ce sera interprété côté client.
Mais pas sur que la solution te convienne ^^

Hardware

Bah ouais mais ça peut pas fonctionner vu que le client ne peut même pas requêter le serveur, en plus son blog est en HSTS donc impossible d’accéder au contenu tant qu'une connexion HTTPS n'est pas établie. Je comprends pas trop la solution.

Wonderfall

Moi maintenant je m'en fiche, je pense que si le lecteur est pas capable d'utiliser des clients décents et à jour c'est tant pis pour lui... En plus je pense que la grande majorité des potentiels lecteurs visés par des blog qui relatent d'un domaine plus ou moins éloigné de l'informatique sont quand même à la pointe logiciellement.

Moi je trouve pas ça si rude Hardware, vu comment CBC est moisi... La compatibilité avec les modes GCM est quand même répandue depuis assez longtemps et les réfractaires sont toujours les mêmes : vieilles versions d'iOS et Android 2.3 notamment. Après c'est clair que si c'est le site d'une entreprise, la question se pose pas et on va préférer la compatibilité... Pour un blog "geek" on peut être plus strict.

Hardware

Je trouve ça dommage de restreindre le nombre de visiteurs en limitant les ciphers, en plus son blog à pas mal d'articles sympas. Je vois pas l’intérêt de limiter le client à l'utilisation de GCM, alors que le contenu est à 99% du temps public et non-sensible, encore si il y avait un avantage non négligeable en terme de performance, là pas vraiment, et c'est le but d'une cipher list, proposer une liste de ciphers compatibles avec le client, en les choisissant bien, on maintient un bon niveau de sécu, c'est pas vraiment utile d'être super strict (PFS c'est déjà top) à ce niveau là quand le contenu est publique (pour un espace membre je veux bien).

Wonderfall

Bah par exemple, s'il relâche un peu la config, faut activer TLS 1.0 sinon ça sert à rien. Et on peut pas faire de flexibilité en gardant TLS 1.2 only pour des service sensibles s'ils sont hébergés sur le même serveur, ça marche pas.

Oui c'est con d'être strict pour un contenu comme ça, mais pas le choix parfois. Et rien à foutre des vieux clients (en ce qui me concerne, après ça regarde chacun, moi ça m'énerve limite...).

Puis pour du A+ sur cryptcheck CBC sera rédhibitoire.

https://mensuel.framapad.org/p/scoring-cryptcheck

Hardware

Heureusement qu'on a pas la même logique avec le forum

Wonderfall

Bah écoute ton futur E/F sur Cryptcheck me fera bien pitié.

Hardware

Si tu as que ça à faire, tant mieux pour toi.

Wonderfall

Hey on se calme, il n'y avait rien d'agressif... Moi même je trouve totalement exagéré la future notation.

Hardware

Je trouve la notation plutôt logique, c'est orienté pour les usages futurs en fait. Après faut faire la part des choses, il y a toujours des compromis à faire en terme de sécurité, sinon on serait tous à utiliser tails + tor dans un cybercafé à 100km de chez soit et à utiliser le gratin niveau outils cryptographiques. Fin bref, je vais pas m’étendre, chacun à sa vision et ses contraintes, c'est à Aerya de choisir de son côté

Solinvictus

Hardware wrote:...sinon on serait tous à utiliser tails + tor dans un cybercafé à 100km de chez soit et à utiliser le gratin niveau outils cryptographiques...

C'est pas déjà le cas ?

Hardware

Si Wonderfall

[/troll]

Aerya

Je partage vos 2 points de vue. (nan chuis pas normand)

Un tel niveau de sécurité est purement inutile sur un blog, surtout quand celui-ci ne permet pas d'inscription. Je suis allé chercher le A+ pour m'amuser, seulement maintenant que je l'ai cité un peu partout alors autant le laisser. En ça je rejoins Wondefall, c'est aux internautes de se mettre "à niveau" mais aussi HardWare vu qu'on parle d'un blog de geek pour geeks. Donc plutôt enclins à être à jour justement.

Au final je laisse comme c'est

Merci à tous de vos avis en tous cas.

Ayenon

Aerya wrote:Franchement les alertes des navigateurs sont aussi limpides que les commandes AS400...

Ça ma bien fait rire

Page suivante »