Suivre

Une note A, c'est correct, sur SSLlabs, ou bien il faudrait que je perde le sommeil à essayer d'avoir A+ ?

@bortzmeyer Si tu a PFS avec les navigateurs moderne + HSTS preload c'est suffisant.

@bortzmeyer (Après tu perds en compatibilité pour un gain en sécurité négligeable)

@Shaft @bortzmeyer Pas besoin dans quel sens ? Niveau sécurité ça me semble important, surtout pour un site peu visité (donc avec un risque élevé de ne pas avoir mémorisé un HSTS)

@tdelmas @bortzmeyer Ça n'influe pas sur la notation de SSLLabs (j'ai pas sur mon site – parce que ça oblige de mettre un site ouebe à l'apex du domaine et que j'ai pas envie) et j'ai tout de même un A+

D'ailleurs, je réclame le A++ parce que j'ai un enregistrement TLSA pour le certificat de se site :)

@Shaft Et OCSP Must-staple aussi évidement ?

@bortzmeyer Je ne sais pas quel est ton endpoint TLS, mais avec le configurator de Mozilla c'est très facile d'avoir A+ pour les endpoints standards (haproxy, nginx, apache ...) : mozilla.github.io/server-side-

@bortzmeyer Perso, j'ai suivi les conseils de @aeris et de son cryptcheck.fr et c'est au poil. Je n'ai jamais eu de soucis, même avec A+
(certes pas avec IE6)

@bortzmeyer
il faut regarder les raisons qui font baisser la note. Parfois, pour passer à A+, l'évolution à mettre en œuvre est tout bonnement trop complexe.
Tout dépend du niveau de risque : pour un site bancaire, A+, c'est bien. Pour un site web quelconque, A, c'est également très bien.

@Zorglub A, ou même A+, sur SSLLabs ne vaut rien. Les mauvais pratiques comme la présence de suites cryptographiques totalement pourries, obsolètes et inutile à coté de suites moins pourries ne baisse pas la note… du coup la note ne donne pas d'indication fiable quand à la qualité d'une configuration dans le monde réel.

SSLLabs donne une note pour « le cas optimal », qui aurai du sens dans un monde de bisounours où les attaques par déclassement n'existent pas…

@bortzmeyer

@bortzmeyer A/A+ chez SSLLabs ne veut rien dire. Tu peux avoir A et du 3DES ou pas loin…

@bortzmeyer Faut un A ou A+ sur CryptCheck v2 si tu veux du solide. 😂

@severo_bo Bonne chance. Mais t'es mobile là non? Il y a un problème d'affichage qui fait que t'as pas le texte complet dans les rectangles.

@bortzmeyer

@devnull @bortzmeyer Pas ma faute, pour ce coup ci... Il y a juste un souci avec les chaînes de caractères on dirait.

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Vive les gougères ! mnt-by: @yapret @papaeng89