Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Tester la compression SSL

4 réponses
Avatar
Kevin Denis
Bonjour,

Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

mais est-ce possible de la demander au serveur?

Merci
--
Kevin

4 réponses

Avatar
Tanguy Ortolo
Kevin Denis, 2012-09-18 16:45+0200:
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée

mais est-ce possible de la demander au serveur?



Bonne question, mais spontanément il me semblerait plutôt que openssl
s_client, ou gnutls-cli — c'est mieux comme outil ! — devrait la
demander systématiquement et afficher si le serveur la prend en charge
ou non.

--
  ____   Tanguy Ortolo
 /_   ______________
((_)   _ .--^---^^-^-'
 ____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847:
Avatar
Thomas Pornin
According to Kevin Denis :
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

mais est-ce possible de la demander au serveur?



En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).

(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)


--Thomas Pornin
Avatar
Kevin Denis
Le 18-09-2012, Thomas Pornin a écrit :
En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).



Ok. Par contre, j'ai beau tester un grand nombre de serveurs, tous
m'indiquent "Compression: NONE". J'ai conscience que les grands
ont vraisemblablement désactivé la compression dernièrement le cas
échéant, mais on devrait trouver tout de même des serveurs autorisant
la compression SSL. Même mes sites qui ont une configuration par
défaut n'ont pas la compression.
De fait, je me demande quelle est la portée de la faille liée à
la compression SSL si aucun site ne l'autorise (?)

(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)



Ok.

Merci
--
Kevin
Avatar
Thomas Pornin
According to Kevin Denis :
Même mes sites qui ont une configuration par défaut n'ont pas la
compression.



Le mien l'a. C'est un Apache brut fourni avec un Linux de base (Ubuntu
12.04, SSL par mod_ssl).

IIS n'a jamais supporté la compression sur TLS (il supporte celle en
HTTP, mais ce n'est pas de celle-là qu'on parle).


--Thomas Pornin