OVH Community, votre nouvel espace communautaire.

Configuration SSL sur une Release 3 pour IE 6/7/8 sur WinXP


turn
21/01/2015, 17h20
Merci beaucoup en tout cas pour votre aide.

Je reviendrai ici faire part des avancées faite sur le problème !

Cordialement

janus57
21/01/2015, 15h48
Bonjour,

le SNI de côté, nous devrions obtenir quelque chose de fonctionnel, non ?
Aucune idée, dans les fait la seule config SSL que j'ai fait est pour une association et j'ai blindé le SSL "comme" (pas tout à fait faut pas abuser) un site de e-commerce donc chez moi IE8 il dégage car dans les stats que j'ai il représente grand maximum 4%

4% vs la sécurité et 4% vs l'achat obligatoire d'ip pour moi c'était vite vu (une association ayant pas les même moyens je me suis adapté).

Donc dans votre cas, soit faut attendre qu'une personne confirme que cela fonctionne, soit vous faite le test.

Mais pour moi le couple IE8 + Windows XP me semble mort et ceux qui l'utilise devrait être puni par la lois de Murphy de l'internet.

Cordialement, janus57

turn
21/01/2015, 15h34
C'est déjà pas mal en effet, merci encore.

Pour répondre à votre question nous sommes un site e-commerce visant une audience particulier/pro, donc beaucoup de clients commandent notamment de leur travail (qui a dit IE8 et XP ? ;p). Pour IE6 nous avons quasiment abandonné l'idée de rendre le site compatible (notamment sur la compatibilité CSS) donc la compatibilité SSL nous importe peu désormais. Mais en ce qui concerne les utilisateurs d'IE8, c'est bien plus problématique.

Dans ce cas a priori l'idée serait d'abandonner le SNI en utilisant une seule ip par site... Nous allons regarder de ce côté. Avec le cipher que nous utilisons désormais malgré le fait que nous ayons toujours cette erreur perturbante "Protocol or cipher suite mismatch Fail3" (Intermediate Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7) et le SNI de côté, nous devrions obtenir quelque chose de fonctionnel, non ?

janus57
21/01/2015, 14h58
Bonjour,

Merci pour le lien, j'ai pu mettre à jour la cipher suite (bien que le rapport Qualys nous affiche toujours l'erreur : Protocol or cipher suite mismatch Fail3) mais le score n'est plus à 0 mais à 90.
Perso je suis aussi à 90, si vous visez le 100 vous allez forcément perdre des navigateur/os qui sont plus à jour mais pas forcément obsolète (du moins ils sont limite limite).

N'essayez pas de viser le 100 sur tout, des personne on essayé le 100 partout, et cela implique beaucoup (trop) de contrainte, surtout dans le cas de e-commerce, car certains navigateur vont lamentablement échoué car ils ont pas les bon cipher.

Par contre, en ce qui concerne SNI, nous avons 3 sites hébergés sur ce dédié, cela veut-il dire que nous ne pouvons pas tous les garder dessus ou qu'il faille configurer les vhosts en spécifiant l'ip pour chacun ?
Cela dépend de votre politique, si vous comptez rendre votre site compatible IE6->IE8 sur XP, va falloir abandonner le SNI et commander 2-3 IPs.
Par contre faut savoir que IE6 (qui est mort) jusqu'à IE8 ne doit plus représenter un très grand pourcentage.

Le mieux est d'ignorer les vieux navigateurs/os qui ne sont plus du tout supporté (qui a dit IE8 et XP ?).

Enfin, le rapport affiche aussi cette erreur : The server does not support Forward Secrecy with the reference browsers, une idée pour cela ?
Il me semble que c'est lié au cipher utilisé, seule les "récents" permettent le "Forward Secrecy" (attention je ne suis vraiment pas sûr de ce que je dit).

Enfin pour finir vous ne précisez pas le contexte de votre site (entreprise/perso/e-commerce ou autre).
Donc pas possible de vous renseigner plus que ça (mais c'est déjà pas mal non ?).

Cordialement, janus57

turn
21/01/2015, 14h05
Bonjour Janus et merci beaucoup pour ta réponse.

Merci pour le lien, j'ai pu mettre à jour la cipher suite (bien que le rapport Qualys nous affiche toujours l'erreur : Protocol or cipher suite mismatch Fail3) mais le score n'est plus à 0 mais à 90.

Par contre, en ce qui concerne SNI, nous avons 3 sites hébergés sur ce dédié, cela veut-il dire que nous ne pouvons pas tous les garder dessus ou qu'il faille configurer les vhosts en spécifiant l'ip pour chacun ?

Enfin, le rapport affiche aussi cette erreur : The server does not support Forward Secrecy with the reference browsers, une idée pour cela ?

Encore merci.

janus57
21/01/2015, 12h47
Bonjour,

le seule moyens de résoudre cette partie du problème :
Androi 2.3.7 No SNI 2 Incorrect certificate because this client doesn't support SNI Fail2
IE 6 / XP No FS 1 No SNI 2 Protocol or cipher suite mismatch Fail3
IE 8 / XP No FS 1 No SNI 2 Protocol or cipher suite mismatch Fail3
est de ne pas faire de SNI, et donc avoir 1IP == 1Site.

Sinon pour la liste des Cipher, on peu trouver une liste sur le wiki Mozilla et choisir en fonction de ces préférences : https://wiki.mozilla.org/Security/Se...configurations

Pour info le principe du SNI c'est 1 IP pour plusieurs site ( avec leur certificat SSL), ce que les navigateur récents arrive à prendre en charge sans aucun problème.

Cordialement, janus57

turn
21/01/2015, 12h32
Bonjour.

Je me permet de remonter le topic car finalement le problème n'est pas réglé (cf. post de dadou75 du 15/01).

Lorsque nous faisons l'analyse de notre configuration SSL via https://www.ssllabs.com/ssltest/, les résultats sont assez éloquents concernant les navigateurs qui nous posent problèmes :

Androi 2.3.7 No SNI 2 Incorrect certificate because this client doesn't support SNI Fail2
IE 6 / XP No FS 1 No SNI 2 Protocol or cipher suite mismatch Fail3
IE 8 / XP No FS 1 No SNI 2 Protocol or cipher suite mismatch Fail3

Et en début d'analyse, nous avons deux messages :

The server does not support Forward Secrecy with the reference browsers.
This site works only in browsers with SNI support.

Nous avons aussi un score de 0 au niveau du Cipher Strength alors que nous utilisons la suite par défaut dans la release 3 :

SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRS A+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES 256:+CAMELLIA128:+AES128:+SSLv3:!aNULL: eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!D
SS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'

Auriez-vous une idée de la configuration à adopter pour notamment supporter le Forward Secrecy et désactiver le SNI qui semblent être la source des problèmes ?

Merci beaucoup d'avance.

dadou75
15/01/2015, 17h43
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRS A+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES 256:+CAMELLIA128:+AES128:+SSLv3:!aNULL: eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!D
SS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'

Pour info on a essayé à peu près 10 CipherSuite différentes aucune ne donne de résultat.
On a fini par supprimer le SSL pour IE < 8 sur la page c'est plus simple pour le moment.

Leeloo
15/01/2015, 17h30
pouvez-vous donner la valeur de la directive "SSLCipherSuite ..." ?

dadou75
15/01/2015, 16h20
Je ne sais pas si j'ai le droit sur le forum... Bon je la virerai après :

Url retirée

Leeloo
15/01/2015, 15h56
Vous est-il possible de fournir l'url ?

dadou75
15/01/2015, 15h50
Salut Leelo,

Merci de ta réponse. Par défaut dans la config d'OVH R3 on a :

SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

Je pense que ca fait le même job que ce que tu as mis. Non ?
On a déjà essayé de changer un peu ces paramètres mais ca n'a pas donné grand chose...

Leeloo
15/01/2015, 15h44
Bonjour,

Est-ce que des directives de ce type (qui suivant la version de IE , bascule sur une version du protocole différente) sont présentes dans votre fichier de configuration du site ?

# SSL Protocol Adjustments:
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

Voir http://httpd.apache.org/docs/2.2/env.html#examples

dadou75
15/01/2015, 15h29
Bonjour,

Nous avons installé un certificat SSL RapidSSL sur l'un de nos sites hébergé sur une R3 Ovh. Tout fonctionne très bien, sauf pour IE 6/7/8 sur WinXP (et peut-être windows 7 on n'a pas pu faire l'essai).

Sur plein de gros sites avec du SSL on voit que quand on charge d'un Chrome on est en TLS 1.2 et que pour un IE7 sur Winxp il passe visiblement en TLS 1.0.

Comment faut-il changer la config de la R3 Ovh pour que cela fasse la même chose ?
Merci d'avance !