[gull] Mise à jour de connexion securisée sur un ancien système

[Yves Martin]

On Mon, 2019-02-18 at 23:50 +0100, Daniel Cordey wrote:
> 
> On 18.02.19 23:39, Yves Martin wrote:
> > Conclusion: on ne peut pas aller contre le progrès, sous-prétexte
> > de
> > sécurité, tout est bon pour les mises à jour
> > logicielles/matérielles en
> > mode marche forcée. Mais que voulez-vous c'est plus
> > simple/rapide/moins
> > cher et en plus ça fait "tourner l'économie"... polluante.
> > 
> 
> Faire des backport est parfois très compliqué et des fois même 
> impossible. On ne s'en rend pas compte tant que l'on est pas
> confronté à 
> une telle situation. Exemple... une correction de bug qui implique
> une 
> nouvelle librairie ou outil... Il arrive que justement le choix de
> la 
> librairie ne dépende pas forcément de celui qui corrige le bug... Je
> ne 
> suis pas en train de justifier ce qui a été fait dans le cas de TLS
> 1.2, 
> mais je veux attirer votre attention sur le fait que certaines
> décisions 
> ne sont pas si simple, même pour des développeurs sensibilisés à
> tous 
> les points que vous avez mentionnés. Ne leurs jetons pas la pierre
> sans 
> essayer de comprendre les raisons de décisions qui nous paraissent 
> parfois incompréhensibles.

D'accord j'y suis aller un peu fort... Mais le choix d'écarter TLS 1.2
pour une situation de man-in-the-middle plus que difficile à mettre en
oeuvre me reste en travers de la gorge.

J'en suis justement à faire le backport de openssl sur mon équipement
pour continuer à m'en servir. Et comme tu le dis, c'est assez lourd
avec une chance de succès bien mince.

Je sais que certains de mes clients ont ajusté "aux petits oignons"
leur configuration de serveur web pour limiter l'impact sur les "vieux"
matériel. Et les ingénieurs qui s'en sont occupés n'ont rien
inventé/découvert, ils ont simplement suivi des documentations établies
selon les recommandations de sécurité - rien de bien sorcier quand on
utilise du nginx ou apache2.

-- 
Yves Martin