Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Tanguy Ortolo
Kevin Denis, 2012-09-18 16:45+0200:
Savez vous s'il est possible de savoir si un serveur utilise la compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple: openssl s_client -connect site:443 -ssl3 alors je constate que la compression n'est pas utilisée
mais est-ce possible de la demander au serveur?
Bonne question, mais spontanément il me semblerait plutôt que openssl s_client, ou gnutls-cli — c'est mieux comme outil ! — devrait la demander systématiquement et afficher si le serveur la prend en charge ou non.
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
mais est-ce possible de la demander au serveur?
Bonne question, mais spontanément il me semblerait plutôt que openssl
s_client, ou gnutls-cli — c'est mieux comme outil ! — devrait la
demander systématiquement et afficher si le serveur la prend en charge
ou non.
Savez vous s'il est possible de savoir si un serveur utilise la compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple: openssl s_client -connect site:443 -ssl3 alors je constate que la compression n'est pas utilisée
mais est-ce possible de la demander au serveur?
Bonne question, mais spontanément il me semblerait plutôt que openssl s_client, ou gnutls-cli — c'est mieux comme outil ! — devrait la demander systématiquement et afficher si le serveur la prend en charge ou non.
Savez vous s'il est possible de savoir si un serveur utilise la compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple: openssl s_client -connect site:443 -ssl3 alors je constate que la compression n'est pas utilisée (snip..) New, TLSv1/SSLv3, Cipher is RC4-SHA Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE
mais est-ce possible de la demander au serveur?
En fait ça a demandé au serveur. En SSL, le client propose mais le serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire de la compression Deflate" mais si à la fin il y a "Compression: NONE", c'est que le _serveur_ n'a pas daigné utiliser la compression (soit qu'il ne sait pas faire, soit qu'il ne veut pas faire).
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg et analyser "à la main" le ClientHello envoyé.)
--Thomas Pornin
According to Kevin Denis <kevin@alinto.comNOSPAM>:
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
mais est-ce possible de la demander au serveur?
En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)
Savez vous s'il est possible de savoir si un serveur utilise la compression SSL/TLS à l'aide d'une commande openssl ou autre?
Si j'utilise un simple: openssl s_client -connect site:443 -ssl3 alors je constate que la compression n'est pas utilisée (snip..) New, TLSv1/SSLv3, Cipher is RC4-SHA Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE
mais est-ce possible de la demander au serveur?
En fait ça a demandé au serveur. En SSL, le client propose mais le serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire de la compression Deflate" mais si à la fin il y a "Compression: NONE", c'est que le _serveur_ n'a pas daigné utiliser la compression (soit qu'il ne sait pas faire, soit qu'il ne veut pas faire).
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg et analyser "à la main" le ClientHello envoyé.)
--Thomas Pornin
Kevin Denis
Le 18-09-2012, Thomas Pornin a écrit :
En fait ça a demandé au serveur. En SSL, le client propose mais le serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire de la compression Deflate" mais si à la fin il y a "Compression: NONE", c'est que le _serveur_ n'a pas daigné utiliser la compression (soit qu'il ne sait pas faire, soit qu'il ne veut pas faire).
Ok. Par contre, j'ai beau tester un grand nombre de serveurs, tous m'indiquent "Compression: NONE". J'ai conscience que les grands ont vraisemblablement désactivé la compression dernièrement le cas échéant, mais on devrait trouver tout de même des serveurs autorisant la compression SSL. Même mes sites qui ont une configuration par défaut n'ont pas la compression. De fait, je me demande quelle est la portée de la faille liée à la compression SSL si aucun site ne l'autorise (?)
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg et analyser "à la main" le ClientHello envoyé.)
Ok.
Merci -- Kevin
Le 18-09-2012, Thomas Pornin <pornin@bolet.org> a écrit :
En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).
Ok. Par contre, j'ai beau tester un grand nombre de serveurs, tous
m'indiquent "Compression: NONE". J'ai conscience que les grands
ont vraisemblablement désactivé la compression dernièrement le cas
échéant, mais on devrait trouver tout de même des serveurs autorisant
la compression SSL. Même mes sites qui ont une configuration par
défaut n'ont pas la compression.
De fait, je me demande quelle est la portée de la faille liée à
la compression SSL si aucun site ne l'autorise (?)
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)
En fait ça a demandé au serveur. En SSL, le client propose mais le serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire de la compression Deflate" mais si à la fin il y a "Compression: NONE", c'est que le _serveur_ n'a pas daigné utiliser la compression (soit qu'il ne sait pas faire, soit qu'il ne veut pas faire).
Ok. Par contre, j'ai beau tester un grand nombre de serveurs, tous m'indiquent "Compression: NONE". J'ai conscience que les grands ont vraisemblablement désactivé la compression dernièrement le cas échéant, mais on devrait trouver tout de même des serveurs autorisant la compression SSL. Même mes sites qui ont une configuration par défaut n'ont pas la compression. De fait, je me demande quelle est la portée de la faille liée à la compression SSL si aucun site ne l'autorise (?)
(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg et analyser "à la main" le ClientHello envoyé.)
Ok.
Merci -- Kevin
Thomas Pornin
According to Kevin Denis :
Même mes sites qui ont une configuration par défaut n'ont pas la compression.
Le mien l'a. C'est un Apache brut fourni avec un Linux de base (Ubuntu 12.04, SSL par mod_ssl).
IIS n'a jamais supporté la compression sur TLS (il supporte celle en HTTP, mais ce n'est pas de celle-là qu'on parle).
--Thomas Pornin
According to Kevin Denis <kevin@alinto.comNOSPAM>:
Même mes sites qui ont une configuration par défaut n'ont pas la
compression.
Le mien l'a. C'est un Apache brut fourni avec un Linux de base (Ubuntu
12.04, SSL par mod_ssl).
IIS n'a jamais supporté la compression sur TLS (il supporte celle en
HTTP, mais ce n'est pas de celle-là qu'on parle).