minor fix
All checks were successful
continuous-integration/drone/push Build is passing

This commit is contained in:
Yann Verry 2023-05-08 23:04:29 +02:00
parent 8a58b19ed7
commit c4c715cc03
Signed by: yann
GPG key ID: EB9E679A66B8C7A1
3 changed files with 18 additions and 17 deletions

View file

@ -1,7 +1,8 @@
--- ---
title: "De Dehydrated à Certbot" title: "De hydrated à Certbot"
date: 2023-04-22T23:52:19+02:00 date: 2023-04-22T23:52:19+02:00
draft: false draft: false
tags: ["tls", "tools"]
--- ---
## Le commencement ## Le commencement

View file

@ -1,20 +1,23 @@
+++ ---
author = "Yann Verry" author: "Yann Verry"
date = 2018-11-18T20:08:16Z date: 2018-11-18T20:08:16Z
description = "" description: ""
draft = false draft: false
image = "__GHOST_URL__/content/images/2018/11/key.jpg" image: "__GHOST_URL__/content/images/2018/11/key.jpg"
slug = "tlsv1-3" slug: "tlsv1-3"
title = "TLSv1.3 en masse" title: "TLSv1.3 en masse"
tags: ["network", "ipv6"]
+++ ---
Suite à une faille de sécurité dans nginx au niveau de h2 Ondřej Surý upgrade la version nginx de 1.4.1 ce qui est une très bonne chose. Suite à une faille de sécurité dans nginx au niveau de h2 Ondřej Surý upgrade la version nginx de 1.4.1 ce qui est une très bonne chose.
Petite nouveauté, nginx est compilé avec la version 1.1.1 d'OpenSSL Petite nouveauté, nginx est compilé avec la version 1.1.1 d'OpenSSL
> nginx version: nginx/1.14.1built with OpenSSL 1.1.1 11 Sep 2018 ```bash
$ nginx -V
nginx version: nginx/1.14.1built with OpenSSL 1.1.1 11 Sep 2018
```
Ceci ouvre donc la possibilité d'activer TLSv1.3 (10ans après TLSv1.2!). C'est donc parti le plus simplement du monde en ajoutant dans la directive **ssl_protocols** le protocole **TLSv1.3** puis recharger **nginx** et ... c'est tout ! Beaucoup d'article tournais autour d'une compilation à la main d'OpenSSL puis ensuite nginx, c'est bien pour du test mais aucunemment pour tout les jours car ce sera une solution jamais mis à jours donc bientôt bourré de faille de sécurité (tiens m'ai j'en parle déjà tout en haut) Ceci ouvre donc la possibilité d'activer TLSv1.3 (10ans après TLSv1.2!). C'est donc parti le plus simplement du monde en ajoutant dans la directive **ssl_protocols** le protocole **TLSv1.3** puis recharger **nginx** et ... c'est tout ! Beaucoup d'article tournais autour d'une compilation à la main d'OpenSSL puis ensuite nginx, c'est bien pour du test mais aucunemment pour tout les jours car ce sera une solution jamais mis à jours donc bientôt bourré de faille de sécurité (tiens m'ai j'en parle déjà tout en haut)
@ -35,6 +38,3 @@ Le second interêt majeur est d'enfin supprimer tout le legacy qu'on se traîne
* CBC * CBC
Je pourrais en dire bien plus mais le sujet est déjà abondamment traité. Bon upgrade vers TLSv1.3 et je vous suggère de laisser uniquement 1.2 et 1.3 d'actif avec les bon ciphers ça ne fera pas de mal puis ensuite de faire jouer la suite qualys Je pourrais en dire bien plus mais le sujet est déjà abondamment traité. Bon upgrade vers TLSv1.3 et je vous suggère de laisser uniquement 1.2 et 1.3 d'actif avec les bon ciphers ça ne fera pas de mal puis ensuite de faire jouer la suite qualys