{"id":1392,"date":"2016-09-30T15:46:27","date_gmt":"2016-09-30T13:46:27","guid":{"rendered":"https:\/\/signal.eu.org\/blog\/?p=1392"},"modified":"2016-09-30T16:11:36","modified_gmt":"2016-09-30T14:11:36","slug":"retour-sur-lusage-de-tlsv1-et-des","status":"publish","type":"post","link":"https:\/\/signal.eu.org\/blog\/2016\/09\/30\/retour-sur-lusage-de-tlsv1-et-des\/","title":{"rendered":"Retour sur l&#8217;usage de TLSv1 et DES"},"content":{"rendered":"\n<div class=\"twitter-share\"><a href=\"https:\/\/twitter.com\/intent\/tweet?via=pbeyssac\" class=\"twitter-share-button\">Tweet<\/a><\/div>\n<p>Suite \u00e0 <a href=\"https:\/\/signal.eu.org\/blog\/2016\/09\/28\/securite-des-serveurs-web-avec-tls-petite-toilette-dautomne-2016\/\">https:\/\/signal.eu.org\/blog\/2016\/09\/28\/securite-des-serveurs-web-avec-tls-petite-toilette-dautomne-2016\/<\/a>, \u00e0 force d&#8217;entendre des injonctions contradictoires de la part des experts TLS (&#8220;il faut d\u00e9sactiver TLSv1&#8221;, &#8220;il faut supprimer DES&#8221;&#8230;), j&#8217;ai voulu voir l&#8217;implication que cela aurait eu sur les acc\u00e8s de mon serveur, qui inclut ce blog et plusieurs autres, ainsi que <a href=\"https:\/\/nic.eu.org\">nic.eu.org<\/a>.<\/p>\n<p>Voici donc quelques statistiques sur le trafic depuis environ un an. Le trafic n&#8217;est pas consid\u00e9rable mais il d\u00e9passe quand m\u00eame les 820 000 acc\u00e8s. Je ne pr\u00e9tends pas que ces statistiques soient repr\u00e9sentatives du trafic g\u00e9n\u00e9ral sur le web, mais elles le sont par d\u00e9finition pour moi \ud83d\ude42<\/p>\n<p>Les diff\u00e9rentes n\u00e9gociations\u00a0 aboutissant \u00e0 DES (en rouge) sont tr\u00e8s minoritaires mais encore tr\u00e8s pr\u00e9sentes. Seul DES-CBC3-SHA n&#8217;est pas n\u00e9gligeable.<\/p>\n<pre>65,2609% ECDHE-RSA-AES128-GCM-SHA256\r\n18,1320% ECDHE-RSA-AES256-GCM-SHA384\r\n12,2206% ECDHE-RSA-AES256-SHA\r\n 1,9730% DHE-RSA-AES256-SHA256\r\n<span style=\"color: #ff0000;\"> 1,9188% DES-CBC3-SHA<\/span>\r\n 0,7400% DHE-RSA-AES256-SHA\r\n 0,5099% RC4-SHA\r\n 0,4088% ECDHE-RSA-AES256-SHA384\r\n 0,2353% DHE-RSA-AES256-GCM-SHA384\r\n 0,1808% ECDHE-RSA-AES128-SHA\r\n 0,0656% AES256-SHA\r\n 0,0606% DHE-RSA-AES128-SHA\r\n 0,0304% AES128-GCM-SHA256\r\n 0,0104% ECDHE-RSA-AES128-SHA256\r\n 0,0018% AES256-SHA256\r\n 0,0011% AES256-GCM-SHA384\r\n<span style=\"color: #ff0000;\"> 0,0010% EDH-RSA-DES-CBC3-SHA<\/span>\r\n<span style=\"color: #ff0000;\"> 0,0010% ECDHE-RSA-DES-CBC3-SHA<\/span>\r\n 0,0010% DHE-RSA-CAMELLIA256-SHA\r\n 0,0010% DHE-RSA-CAMELLIA128-SHA\r\n 0,0010% CAMELLIA256-SHA\r\n 0,0010% CAMELLIA128-SHA\r\n 0,0010% AES128-SHA\r\n 0,0007% DHE-RSA-AES128-GCM-SHA256\r\n 0,0004% DHE-RSA-AES128-SHA256\r\n 0,0004% AES128-SHA256<\/pre>\n<p>Si TLSv1.1 et TLSv1 sont tr\u00e8s minoritaires, ils ne sont pas inexistants pour autant. Quant \u00e0 SSLv2 et SSLv3, s&#8217;ils ne sont pas visibles ci-dessous c&#8217;est parce que je les ai d\u00e9sactiv\u00e9s d&#8217;autorit\u00e9, je ne peux donc pas avoir de statistiques significatives dessus.<\/p>\n<pre>86,5586% TLSv1.2\r\n13,1792% TLSv1\r\n 2,0327% TLSv1.1<\/pre>\n<p>Je n&#8217;en sais pour l&#8217;instant pas plus sur la nature des acc\u00e8s. La configuration par d\u00e9faut Apache conserve trop peu d&#8217;informations.<\/p>\n<p>Pour en savoir plus j&#8217;ai donc d\u00e9fini le format suivant, qui au format par d\u00e9faut ajoute le nom d&#8217;h\u00f4te virtuel et le user-agent :<\/p>\n<pre>LogFormat \"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \\\"%r\\\" %b <span style=\"color: #ff0000;\">%{User-Agent}i %{Host}i<\/span>\" sslua<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Suite \u00e0 https:\/\/signal.eu.org\/blog\/2016\/09\/28\/securite-des-serveurs-web-avec-tls-petite-toilette-dautomne-2016\/, \u00e0 force d&#8217;entendre des injonctions contradictoires de la part des experts TLS (&#8220;il faut d\u00e9sactiver TLSv1&#8221;, &#8220;il faut supprimer DES&#8221;&#8230;), j&#8217;ai voulu voir l&#8217;implication que cela aurait eu sur les acc\u00e8s de mon serveur, qui inclut ce blog et plusieurs autres, ainsi que nic.eu.org. Voici donc quelques statistiques sur le trafic depuis &hellip; <a href=\"https:\/\/signal.eu.org\/blog\/2016\/09\/30\/retour-sur-lusage-de-tlsv1-et-des\/\" class=\"more-link\">Continue reading <span class=\"screen-reader-text\">Retour sur l&#8217;usage de TLSv1 et DES<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/1392"}],"collection":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/comments?post=1392"}],"version-history":[{"count":5,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/1392\/revisions"}],"predecessor-version":[{"id":1397,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/1392\/revisions\/1397"}],"wp:attachment":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/media?parent=1392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/categories?post=1392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/tags?post=1392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}