Bonne pratique Crypto
De Docaposte Cyberdéfense
Pour obtenir la note maximal et corriger de nombreux failles (ROBOTS, POODLE, BEAST, CRIME, BREACH, FREAK, SWEET32,) le COSC recommande la suite suivante:
-ALL:!RC4:!ADH:!LOW:!EXP:!SSLv2:!SSLv3:!MD5:!NULL:!TLSv1:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:
Pour un Bigip
Mise en place:
Pour Apache
Si la partie chiffrement est porté directement par le serveur WEB, il est nécessaire de ajouter/modifier la directive suivante:
SSLCipherSuite HIGH:!MEDIUM:!aNULL:!MD5:!RC4