Certification SSL

[marcus2701]

Bonjour, avez vous sécurisé votre NAS avec un certificat ? Si oui par quelle autorité de certification ? Comment ? Combien ? Merci

[PiwiLAbruti]

Oui, donc /root

[marcus2701]

Je n'ai pas de user root. J'ai l'admin et d'autres users du groupe des admin.

[marcus2701]

Ok ca marche

[marcus2701]

Je me connectais en ssh en admin du coup le backup root ne marchait pas. En me connectant en root c'est bon

[marcus2701]

Merci

[marcus2701]

Bonjour à tous, j'ai fait la manip mais il me dit encore que mon algorithme est obsolète :(

[gaetan.cambier]

donne ton nom de domaine en pv, je vais faire le test sur startssl pour conprendre

 

 

[marcus2701]

C'est fait

[gaetan.cambier]

j'ai le resultat :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)   ECDH 256 bits (eq. 3072 bits RSA)   FS 112
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
 

pour faire claire, la commande sed est surement pas passée

en ssh, tu peux lancer cette commande : 

 grep SSLCipherSuite  /etc/httpd/conf/extra/httpd-ssl.conf-cipher

et tu me copie le retour de la commande (en sélectionnant, ca copie automatiquement)

au passage, peux-tu me donner aussi le retour de cette commande :

openssl ciphers CHACHA20

 

edit : c'est qd meme bizare : le sha256/384 a priorité sur le sha en theorie mais il avec les simulation, on a le sha qui est pris dans certain cas en tls 1.2 :s

edit2 : bon, c'est les suite gcm qui sont tout simplement absente, ca redevient logique

Modifié le 5 juin 2015 par gaetan.cambier

[gaetan.cambier]

j'attendait ta reponse ici, et pas en privé, j'ai mis du temps à la voir

bon, le problème viens du sed :

fenir est surement encore en dsm 5.1 et comme la ligne a changé entre les 2 version, forcement ca a pas fonctionne

voici une ligne + générique qui en plus devient tenir dans le temps si jamais il fallais la retapper :

sed -i 's/SSLCipherSuite .*/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3
DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

ensuite, tu redemmare apache :

synoservicecfg --restart httpd-user

 

[marcus2701]

Ah désolé. Je tape la commande telle qu'elle avec .*/ ? sed -i 's/SSLCipherSuite .*/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3 DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

[gaetan.cambier]

oui, fait un copier coller, c'est + sur

en fait la commande signifie que toute ligne commancant par "SSLCipherSuite "

va etre remplacé par "SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3 DES:!MD5"

dans le fichier "/etc/httpd/conf/extra/httpd-ssl.conf-cipher"

Modifié le 5 juin 2015 par gaetan.cambier

[marcus2701]

Super ca a marché !!!! :) :) t'es le meilleur Gaëtan. Merci beaucoup

[marcus2701]

C'est quand même dommage que Synology n'ait pas mis à jour leur algorithme. Tout le monde n'a pas la connaissance pour le faire.

[gaetan.cambier]

de rien.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256  est par defaut maintenant pour tous les client qui l'accepte

a ce jour, c'est un criptage sans faiblesse connrue

c'est bizarre en effet que synology refuse explicitement les suite en aesgcm, c'est à ce jour les + sur avec le chacha20_poly1305 de google mais ce dernier n'est pas supporté par nos syno en standard

[Fenrir]

bon, le problème viens du sed :

fenrir est surement encore en dsm 5.1 et comme la ligne a changé entre les 2 version, forcement ca a pas fonctionne

​je suis pourtant en 5.2 et le sed à fonctionné chez moi, surement un énième résidu de la montée de version

pas grave, l'essentiel est que le problème soit corrigé

[marcus2701]

Merci à vous les gars. C'était sympa :)