Je possède actuellement un site web avec une support https plutôt bien sécurisé (Noté A+ sur SSL Labs de Qualys), mais j'ai un problème de compatibilité avec d’anciens navigateurs et certaines configs (le mac d'un de mes profs n'y arrive pas).

Voici le test
https://www.ssllabs.com/ssltest/analyze.html?d=www.redheness.net&s=2a01%3acb05%3a89b9%3a9900%3acb14%3a1d0%3abb0f%3a2e73

je suis sous apache2, si vous avez des pistes pour les problèmes de "handshake failure" avec certains navigateurs, je suis preneur, parce que là ça fait un petit moment que je sèche totalement.

je suis sous apache2, si vous avez des pistes pour les problèmes de "handshake failure" avec certains navigateurs, je suis preneur, parce que là ça fait un petit moment que je sèche totalement.

Ton certificat SSL est trop sécurisé et les vieux systèmes ne possèdent pas la méthode de chiffrement adapté pour pouvoir comprendre le certificat.
Pour savoir ça il te suffit de cliquer sur un des nom qui échouent. Exemple, si tu cliques sur "OpenSSL 0.9.8y" tu vas arriver sur ça
https://www.ssllabs.com/ssltest/viewClient.html?name=OpenSSL&version=0.9.8y&key=27

Et tu vas te rendre compte que les Cipher que gère cette version d'OpenSSL et les Cipher que ton serveur permet d'utiliser ne sont pas compatibles.

La solution à ça c'est de changer les Cipher autorisés, ou bien d'accepter que des gens ne puissent pas accéder à ton site parce que leurs systèmes sont trop vieux et non sécurisés

Le 06 mai 2018 à 17:50:41 loitho a écrit :

je suis sous apache2, si vous avez des pistes pour les problèmes de "handshake failure" avec certains navigateurs, je suis preneur, parce que là ça fait un petit moment que je sèche totalement.

Ton certificat SSL est trop sécurisé et les vieux systèmes ne possèdent pas la méthode de chiffrement adapté pour pouvoir comprendre le certificat.
Pour savoir ça il te suffit de cliquer sur un des nom qui échouent. Exemple, si tu cliques sur "OpenSSL 0.9.8y" tu vas arriver sur ça
https://www.ssllabs.com/ssltest/viewClient.html?name=OpenSSL&version=0.9.8y&key=27

Et tu vas te rendre compte que les Cipher que gère cette version d'OpenSSL et les Cipher que ton serveur permet d'utiliser ne sont pas compatibles.

La solution à ça c'est de changer les Cipher autorisés, ou bien d'accepter que des gens ne puissent pas accéder à ton site parce que leurs systèmes sont trop vieux et non sécurisés

Je vais préférer une meilleure sécurité alors, les gens avec ces versions sont très rares, je voulais changer ça surtout au cas où.

Merci encore pour la réponse.

En soit, tu pourrais résoudre le soucis vis à vis de OpenSSL 0.9.8 sans perdre en sécurité en acceptant les version "DHE" en plus des "ECDHE" de tes cipherlists

En ajoutant :
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
au côté du:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
que tu supporte déjà de la norme TLS 1.0 permettrait le support de la version 0.9.8 de OpenSSL sans pour autant faire tomber ta note ssllabs.

(il me semble qu'aujourd'hui, le seul avantage des courbes EC dans les algo n'est pas une plus grande sécurité en tant qu'algo, mais une plus grande sécurité pour une complexité moindre, afin de gagner en performance pour les machines... Du coup, tu ne perdrais pas nécessairement en sécurité à ajouter cet algo là...)

Exemple d'un site parvenant au handshake avec OpenSSL 0.9.8 et avec la même note que toi :
https://www.ssllabs.com/ssltest/analyze.html?d=cipherli.st&s=2a03%3ab0c0%3a3%3ad0%3a0%3a0%3a39a%3a5001&latest

(après, si même ça ne suffit pas, oui ça sous-entendrais qu'il serait peut-être nécessaire d'abaisser la sécurité, mais là je serais d'accord pour dire que c'est surtout au prof de mettre à jour sa machine dans l'idéal...)