Le coût n'e'st pas si élevé comme ça, surtout quand tu as un trafic assez limité. Et si tu as un site qui ne dépend pas d'autres sous domaines, SPDY ou HTTP2 est une bonne idée pour réduire encore plus l'impact sur les perfs.
La directive de cipherli.st ne devrait pas donner la suite de chiffrement que testssl te donne. Comme le dit si bien un autre commentaire, il doit y avoir une interférence avec une autre directive quelque part…
Première chose : il n'a pas testé le mode GCM. Ce n'est pas forcément dommageable, mais comme on en parlait ailleurs dans la conversation, autant le préciser. Deuxièmement, on se rend bien compte que oui, il y a bien une différence de perfs entre 128 vs. 256, mais :
Elle n'est pas si énorme que ça (68MB/s pour du 128 bits, 51MB/s pour du 256)
La perf en elle-même pour du 256 bits est bien suffisante pour l'usage "surf sur des sites HTTPS" et les quelques opérations de crypto qu'on peut bien faire sur son smartphone
C'est assez simple : si tu casses algorithmiquement AES128, tu casses aussi AES256. C'est très peu probable, comme tu dis, de "trouver une faille dans AES128 et pas dans AES256".
Donc comme AES256 n'est pas accéléré sur les processeurs mobiles (pas sur le Snapdragon S4 en tous cas : https://calomel.org/aesni_ssl_performance.html) et que le compromis puissance requise/sécurité n'a semble t'il pas convaincu les ingés chez Google, c'est désactivé…
Luke O'Connor (sans vouloir jouer de l'argument d'autorité, ce n'est pas non plus le premier clampin venu en crypto) a un avis assez similaire, et le NIST aussi :
NIST’s recommendation above includes the threat model not only of predicting the key, but also of cracking the encryption algorithm. The difference between cracking AES-128 algorithm and AES-256 algorithm is considered minimal. Whatever breakthrough might crack 128-bit will probably also crack 256-bit.
EDIT : cela dit, la différence ne semble pas non plus extrêmement importante, selon Google :
A standard phone (which is always defined by whatever I happen to have in my pocket; a Galaxy Nexus at the moment) can do AES-128-GCM at only 25MB/s and AES-256-GCM at 20MB/s (both measured with an 8KB block size).
Android 4.4.2 prend bien du 256-GCM là où Android 5.0 "régresse" (oui parce qu'on encule plutôt les mouches là, pour le coup…) avec du 128-GCM :)
EDIT : Au temps pour moi, tu parles de la 4.1, qui ne gère que TLS 1.0 donc automatiquement du CBC. Cela dit, Zenitram parlait bien de la version 4.4 dans son post.
Je ne comprends pas, tu as moyen de modifier l'ordre des ciphers (donc avec un accès au fichier de conf, non ?), tu peux donc désactiver la signature du serveur, ou je suis à côté de mes pompes ?
Normalement, la directive ServerSignature Off est utilisable en global, mais aussi individuellement pour chaque vhost.
[^] # Re: Let’s Encrypt
Posté par Harvesterify (site web personnel) . En réponse au journal L'avenir de la sécurité de nos sites oueb : DNSSEC / HPKP / DANE TLSA / CSP. Évalué à 1.
https://istlsfastyet.com/
Le coût n'e'st pas si élevé comme ça, surtout quand tu as un trafic assez limité. Et si tu as un site qui ne dépend pas d'autres sous domaines, SPDY ou HTTP2 est une bonne idée pour réduire encore plus l'impact sur les perfs.
Mes messages engagent qui je veux.
[^] # Re: Cipherli.st
Posté par Harvesterify (site web personnel) . En réponse au message Désactiver 3DES sur Apache.. Évalué à 1.
La directive de cipherli.st ne devrait pas donner la suite de chiffrement que testssl te donne. Comme le dit si bien un autre commentaire, il doit y avoir une interférence avec une autre directive quelque part…
Mes messages engagent qui je veux.
[^] # Re: Et c'est joli au moins?
Posté par Harvesterify (site web personnel) . En réponse au journal SSL EV, étendue oui, validation euh.... Évalué à 1.
Pour compléter le post d'en dessous justement, un autre benchmark fait sur un Galaxy S3 (donc plutôt vieux, et qui correspondrait en terme de processeur à de l'entrée de gamme acteullement) : https://jve.linuxwall.info/blog/index.php?post/2013/09/12/My-phone-does-crypto-faster-than-my-servers
Les mesures brutes sont disponibles au format TXT ici : https://jve.linuxwall.info/ressources/taf/aesmeasurements.txt
Première chose : il n'a pas testé le mode GCM. Ce n'est pas forcément dommageable, mais comme on en parlait ailleurs dans la conversation, autant le préciser. Deuxièmement, on se rend bien compte que oui, il y a bien une différence de perfs entre 128 vs. 256, mais :
Une conversation intéressante (de 2013 tout de même, comme quoi on avance pas vraiment sur le sujet 128 vs. 256…) avec les développeurs Mozilla : https://groups.google.com/forum/#!msg/mozilla.dev.tech.crypto/36na1B2brGU/xUMMPMgkmEMJ
Mes messages engagent qui je veux.
[^] # Re: Et c'est joli au moins?
Posté par Harvesterify (site web personnel) . En réponse au journal SSL EV, étendue oui, validation euh.... Évalué à 6. Dernière modification le 28 décembre 2015 à 22:43.
C'est assez simple : si tu casses algorithmiquement AES128, tu casses aussi AES256. C'est très peu probable, comme tu dis, de "trouver une faille dans AES128 et pas dans AES256".
Donc comme AES256 n'est pas accéléré sur les processeurs mobiles (pas sur le Snapdragon S4 en tous cas : https://calomel.org/aesni_ssl_performance.html) et que le compromis puissance requise/sécurité n'a semble t'il pas convaincu les ingés chez Google, c'est désactivé…
Luke O'Connor (sans vouloir jouer de l'argument d'autorité, ce n'est pas non plus le premier clampin venu en crypto) a un avis assez similaire, et le NIST aussi :
(source : http://lukenotricks.blogspot.fr/2010/04/aes-128-versus-aes-256-encryption.html)
EDIT : cela dit, la différence ne semble pas non plus extrêmement importante, selon Google :
(Source : https://www.imperialviolet.org/2013/10/07/chacha20.html)
Mes messages engagent qui je veux.
[^] # Re: Et c'est joli au moins?
Posté par Harvesterify (site web personnel) . En réponse au journal SSL EV, étendue oui, validation euh.... Évalué à 1. Dernière modification le 28 décembre 2015 à 21:08.
A moins que SSL Labs raconte n'imp (ce qui peut arriver), ce n'est pas vrai en pratique, ce que tu énonces, la preuve avec mon serveur :
Tiré de : https://dev.ssllabs.com/ssltest/analyze.html?d=harvester.fr&s=176.31.119.121&hideResults=on
Android 4.4.2 prend bien du 256-GCM là où Android 5.0 "régresse" (oui parce qu'on encule plutôt les mouches là, pour le coup…) avec du 128-GCM :)
EDIT : Au temps pour moi, tu parles de la 4.1, qui ne gère que TLS 1.0 donc automatiquement du CBC. Cela dit, Zenitram parlait bien de la version 4.4 dans son post.
Mes messages engagent qui je veux.
[^] # Re: Et c'est joli au moins?
Posté par Harvesterify (site web personnel) . En réponse au journal SSL EV, étendue oui, validation euh.... Évalué à 1.
Je ne comprends pas, tu as moyen de modifier l'ordre des ciphers (donc avec un accès au fichier de conf, non ?), tu peux donc désactiver la signature du serveur, ou je suis à côté de mes pompes ?
Normalement, la directive
ServerSignature Offest utilisable en global, mais aussi individuellement pour chaque vhost.Mes messages engagent qui je veux.
# Cipherli.st
Posté par Harvesterify (site web personnel) . En réponse au message Désactiver 3DES sur Apache.. Évalué à 2.
Salut,
En reprenant la suite de chiffrement de cipherli.st ça devrait passer :
Tu as d'autres options de conf' utiles pour Apache sur leur site :) Sinon le draft de BetterCrypto peut aider.
Mes messages engagent qui je veux.
[^] # Re: Et c'est joli au moins?
Posté par Harvesterify (site web personnel) . En réponse au journal SSL EV, étendue oui, validation euh.... Évalué à 1.
Il ne restera plus qu'à désactiver le fingerprinting de ton Apache en plus de la réorganisation de la suite des ciphers, et ce sera pas mal :)
Mes messages engagent qui je veux.