SSL: c'est partie pour un tour

Je confirme que le patch fonctionne très bien (pour l'avoir testé en production depuis un bon moment en recompilant et patchant Apache "à la main") !
La release à mis du temps à arriver mais elles est là, merci à l'équipe Debian.

Bonjour,

Plus besoin de passer à Jessie (Debian 8.1) pour bénéficier une solution contre LogJam.
La dernière mise à jour d'Apache2 pour Wheezy, Debian 7.8:
Server version: Apache/2.2.22 (Debian)
Server built: Aug 1 2015 20:11:57
( apache2_2.2.22-13+deb7u5_amd64 )

n'est plus vulnérable au 'logjam'.

Vous pouvez avoir votre A+ à nouveau https://www.ssllabs.com/ssltest/

Ce n'est pas la "clé de 1024" qui pose problemes, mais le fait que cette clé est "préparé" pendant la compilation, et présent DANS le code d'Apache. Il est statique et la même pour toi et moi.
Le fait de le ramener vers 2048 (version Apache2.4 seulement) et la possibilité de la régénerer à chaque démarrage (version Apache2.4 seulement) est la solution, quelque chose d'impossible avec la version 2.2.
[ point 3 mentionné ici : http://serverfault.com/questions/693...n-apache-httpd ]

Merci pour cette info.
La (ma) solution est donc pour l'instant: attendre que Debian sortira un patch de sécurité pour Apache2 (Apache/2.2.22 présent dans Wheezy) soit, ajouter NginX , soit remplacer carrément Apche2 pour NginX
Soit : j'avance la date de upgrade vers Jessie qui inclura une version Apache qui accepte une paramétrage anti-logjam.

Bonjour,

comme le dit SSL Labs, ceux qui suivaient déjà leurs recommandations ne sont pas concernés par Logjam. Typiquement même en Debian Wheezy, vu que j'utilise toujours NginX pour gérer le SSL, j'ai conservé ma note A.

Bref, vous pouvez toujours mettre NginX en reverse-proxy pour gérer le SSL, avec le module RPAF pour Apache ce sera transparent pour la plupart des applications.

Bonjour,

idem je suis capé à B depuis que "logjam" a été rendu publique et que sous Wheezy y a pas 36 solutions si on a pas envie de compiler un apache, faut upgrade vers Jessie.

Après ce qui me fait le plus peur c'est pas que quelqu'un puisse potentiellement casser nos échange en SSL vers un petit site de particulier/association, mais que si un groupe de hacker s'attaque à un gros site de e-commerce là ça fait déjà plus mal même si ils ne peuvent pas faire ça en 5minutes (il faut quand même avec uen bonne puissance de calcul je pense).

Mais bon peut être que sous Wheezy l'équipe de sécurité Debian va nous faire une nouvelle version de apache avec un DH par défaut de 2048 qui sais (vu que Wheezy est encore en support actif pour 1an).

Cordialement, janus57

Pour faire votre inventaire : https://www.ssllabs.com/ssltest/ - un bon site pour tester vos certificats, et tous ce qui peut exister derrière une liaison https.
Normalement, j'avais une score de A+ .... là, c'est mort.

Je suis d'accord que ce 'bug' sera encore une avec une bonne couverture médiatique - (tout le monde en parle, personne sais ce que c'est).

Pour ceux avec un 'Debian', la mise à jour vers la version 8.0 réglera l'affaire.

Bonjour,

ouais enfin comparé a du Heartbleed cette vulnérabilité n'est pas aussi "critique", si je fait le test sur un de mes sites en SSL : je crois pas que un état va s'amuser à mobiliser des machines pour casser un max de site de particulier, y a plus de chance de voir de gros site ou des VPN (oui les VPN aussi sont touchés) se faire casser leur(s) clé(s).

Et si vous voulez vraiment jouer les parano allez check les sites en https que vous utilisez vous risquez d'avoir des surprises.

Cordialement, janus57

Même pour Wheezy il n'y pas de solution ni Plan B. Sauf virer Apache/2.2.22 (Debian) en tant que paquet de Debian et compiler une version Apache2 (2.4.x). Plus PHP qui va avec, plus ... plus ....
Plan A reste le plus simple et plus sur : passer à Jessie (Debian 8) car lui propose la version d'Apache/2.4.10 (Debian) de 15 mars 2015 qui accepte le SSLOpenSSLConfCmd DHParameters "/file/dhparam.pem..."

Je pense que pour Debian 7.8 (la fin de Wheezy) il y aura une 'version patch' de Debian sans que Apache passe à 2.4.x - car cette version change pas mal le config, ce qui a été la raison pourquoi Debian n'a pas voulu intégrer 2.4 avant, dans Wheezy ni Squeeze.

Ce site (de référence !) en parle déjà : http://serverfault.com/questions/693...-apache-2-2-16 - sur ce site, si une solution existe, elle sera mentionnée rapidement. Pour l'instant, les experts sont unanimes : comme toujours, mise à jour ... ou mourir.
Garder une vieille version d'un OS (disons Debian Squeeze) est possible, si vous êtes un expert (donc vous allez compiler voter version d'Apache2.4.x pour corriger le bug, ça ne prend que 15 minutes ).
Pour le non-experts =>mise à jour sans même se poser une question

Bonsoir,

J'ai effectivement vue cette faille et essayer d'appliquer les différents paramètres de protection.
Par contre je suis tjs sur un de mes serveurs en Debian Squeeze, pas encore pris le temps de faire la migration et vu qu'il était en support LTS...

Par contre sur cette version il y a apache 2.2.16...
La commande SSLOpenSSLConfCmd DHParameters "/file/dhparam.pem..." ne fonctionne donc pas...

Est-ce que vous avez une solution en attendant que je puisse réaliser l'upgrade vers une nouvelle version de apache (et donc idéalement vers Debian Jessie) ?

a+

Un Heartbleed -bis ?
Google: SSL Logjam