1 votes

cyberwombat avatar

Comment trouver un certificat SSL prenant en charge certains cryptages ?

Demandé el 14 de Novembre, 2018
Quand la question a-t-elle été
3254 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un site et devons nous connecter à un service tiers qui utilise un système avec un certain support de chiffrement. J'ai essayé LetsEncrypt et Comodo mais aucun ne fonctionne.

Existe-t-il une ressource que je peux localiser pour trouver l'autorité de certification SSL qui prend en charge les chiffres souhaités sans passer par l'installation et faire nmap --script ssl-enum-ciphers -p 443 example.org

Voici les chiffrements supportés :

Cipher#  0 : TLS_RSA_WITH_AES_256_CBC_SHA256 
Cipher#  1 : TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 
Cipher#  2 : TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 
Cipher#  3 : TLS_RSA_WITH_AES_256_CBC_SHA 
Cipher#  4 : TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
Cipher#  5 : TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
Cipher#  6 : TLS_RSA_WITH_AES_128_CBC_SHA256 
Cipher#  7 : TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 
Cipher#  8 : TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 
Cipher#  9 : TLS_RSA_WITH_AES_128_CBC_SHA 
Cipher#  10 : TLS_DHE_RSA_WITH_AES_128_CBC_SHA 
Cipher#  11 : TLS_DHE_DSS_WITH_AES_128_CBC_SHA 
Cipher#  12 : TLS_EMPTY_RENEGOTIATION_INFO_SCSV 
Cipher#  13 : TLS_DH_anon_WITH_AES_256_CBC_SHA256 
Cipher#  14 : TLS_DH_anon_WITH_AES_256_CBC_SHA 
Cipher#  15 : TLS_DH_anon_WITH_AES_128_CBC_SHA256 
Cipher#  16 : TLS_DH_anon_WITH_AES_128_CBC_SHA 
Cipher#  17 : SSL_RSA_WITH_DES_CBC_SHA 
Cipher#  18 : SSL_DHE_RSA_WITH_DES_CBC_SHA 
Cipher#  19 : SSL_DHE_DSS_WITH_DES_CBC_SHA 
Cipher#  20 : SSL_DH_anon_WITH_DES_CBC_SHA 
Cipher#  21 : TLS_RSA_WITH_NULL_SHA256 
Cipher#  22 : SSL_RSA_WITH_NULL_SHA 
Cipher#  23 : SSL_RSA_WITH_NULL_MD5 
Cipher#  24 : TLS_KRB5_WITH_DES_CBC_SHA 
Cipher#  25 : TLS_KRB5_WITH_DES_CBC_MD5
Demandé el 14 de Novembre, 2018 par cyberwombat

Réponses

Trop de publicités?

4voto

Steffen Ullrich avatar
Steffen Ullrich Points 11972

Il existe essentiellement deux types de certificats qui se distinguent par le type de clé publique utilisé : les plus courants sont les certificats RSA et les moins utilisés sont les certificats ECC. Les premiers sont utilisés pour le chiffrement avec authentification RSA (i.e. TLS_RSA_WITH_AES_256_CBC_SHA256 , TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 ... dans votre liste) et ECC est utilisé pour le chiffrement avec authentification ECDSA (il n'y a pas de chiffrement ECDSA dans votre liste).

Plusieurs codes de chiffrement de votre liste n'utilisent pas du tout de certificats, comme par exemple TLS_DH_anon_WITH_AES_256_CBC_SHA o TLS_KRB5_WITH_DES_CBC_SHA . Les autres ciphers de votre liste ne sont pas de vrais ciphers mais seulement des pseudo-ciphers : TLS_EMPTY_RENEGOTIATION_INFO_SCSV . Et puis il y a les cryptages DSS qui nécessiteraient des certificats DSA qu'aucune autorité de certification publique ne délivre de toute façon.

En outre, de nombreux chiffres de cette liste sont très peu sûrs, comme par exemple SSL_RSA_WITH_NULL_MD5 (pas de cryptage du tout), SSL_RSA_WITH_DES_CBC_SHA (cryptage facile à craquer) ou TLS_DH_anon_WITH_AES_256_CBC_SHA (pas de protection contre les attaques de type "man in the middle" car pas d'authentification du serveur).

Nous avons un site et devons nous connecter à un service tiers qui utilise un système avec un certain support de chiffrement.

Si vous devez vous connecter à un service tiers, vous êtes un client TLS. Les clients TLS n'ont généralement pas de certificats. Les clients TLS peuvent avoir besoin de certificats (clients) si une authentification mutuelle est requise. Dans ce cas, le type de certificat n'a aucune relation avec le chiffrement - seuls les certificats du serveur ont une telle relation. Mais le serveur aura probablement besoin de certificats spécifiques, comme des certificats émis par une autorité de certification tierce ou d'autres certificats ayant des propriétés spécifiques. Les propriétés que le certificat doit avoir doivent être documentées par le service tiers.

Répondu el 14 de Novembre, 2018 par Steffen Ullrich (11972 Points )

2voto

guzzijason avatar
guzzijason Points 1330

Le certificat ne détermine pas explicitement quels chiffres sont mis à disposition par le serveur. Ceci est en fait contrôlé (par exemple, sur les serveurs d'application qui utilisent OpenSSL) par un paramètre de configuration Cipher String, qui permet à l'administrateur du serveur d'activer ou de désactiver des chiffrements spécifiques, ou des suites de chiffrements, ou de préférer un ordre particulier de chiffrements.

Vous trouverez de bonnes informations à ce sujet ici : https://www.owasp.org/index.php/TLS_Cipher_String_Cheat_Sheet

Répondu el 15 de Novembre, 2018 par guzzijason (1330 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X