[gull] Mise à jour de connexion securisée sur un ancien système

Yves Martin ymartin1040 at gmail.com
Mon Feb 18 23:39:45 CET 2019 

 Bonjour

Il est possible que les certificats de certains sites que l'on cherche
à accéder ait été expirés/renouvelés mais dans ces cas (rares - car CA
racines souvent valables 10 ans) le message du navigateur est plutôt
clair: il ne peut valider le certificat du serveur sur une des CA
installés sur le système ou dans le "trust store" du navigateur et
propose même de passer outre.

Le message d'erreur indiqué ici "ssl_error_no_cypher_overlap" signifie
que le serveur web n'accepte aucun des algorithmes proposés par le
navigateur lors de la négociation TLS. Les recommandations habituelles
"au goût du jour" sont de n'autoriser rien d'autre que TLS 1.3

Du jour au lendemain, mon vénérable Nokia N900 Maemo (base Debian) n'a
donc plus été capable de communiquer avec un de mes sites favoris, qui
venait juste de couper le http, redirection forcée vers https en tls
1.3 uniquement.

Pré-requis pour un système Linux: openssl version 1.1.1 minimum, ou
gnutls 3.6.4
Et autant dire tout de suite que le remplacement d'une openssl 0.9 ou
1.0 par une 1.1 sans se taper la recompilation intégrale des couches
supérieures (gtk, qt, applications...) - même sur une Gentoo, il faudra
du courage, de la patience, du CPU et les kWh équivalents (ok on est en
hiver, ça réchauffe...)

Alors oui TLS 1.3 est plus performant et il retire des algos jugés
faibles... mais je ne comprends pas pourquoi les sites ne conservent
pas le TLS 1.2, en y désactivant ces mêmes algos avec les clefs de
configuration idoines du serveur web.
À moins d'une vraie raison de la faiblesse de TLS 1.2 - la seule que
j'ai identifiée https://access.redhat.com/articles/2112261 ne mérite
pas un tel banissement, sauf dans le bancaire probablement - cela me
semble être un manque certain de considération pour une certaine
"rétro-compatibilité" ou simplement de la flémardise devant ce petit
effort de configuration.

Conclusion: on ne peut pas aller contre le progrès, sous-prétexte de
sécurité, tout est bon pour les mises à jour logicielles/matérielles en
mode marche forcée. Mais que voulez-vous c'est plus simple/rapide/moins
cher et en plus ça fait "tourner l'économie"... polluante.

-- 
Yves Martin

More information about the gull mailing list