Logjam est une nouvelle faille dans le désormais périlleux chemin de la cryptographie, touchant une étape de négociation lors d’une connexion [[TLS|SSL/TLS]]. Même si, comme Freak, son exploitation n’est pas forcément facile, cela va imposer à moyen terme l’augmentation de la longueur de certaines clés, ou l’utilisation de certains algorithmes à la place de certains jugés trop faibles, ce qui aura surtout pour effet de compliquer encore la vie des webmasters (et des navigateurs web).
En effet, à force d’augmenter la solidité des mécanismes de sécurité, on finit par demander beaucoup de calculs à la fois au serveur et au navigateur ; or tout le monde n’est pas obligatoirement à niveau, et on pourrait finir (par exemple) par rendre certains sites inaccessibles aux utilisateurs dont les ordinateurs (ou les navigateurs web) ne sauraient pas composer avec cette complexité croissante.
Une synthèse, avec un outil de test ainsi que les recommandations à suivre sont ici : weakdh.org.
Désactivation sur Plesk
Sur Plesk, si vous avez une version 2.2 d’Apache couplé à nginx, il faudra un peu ruser pour ne plus être exposé à Logjam. pour plus d »infos, allez voir le forum.
Il faut en premier lieu créer un fichier DH personnalisé, de complexité (longueur) suffisante :
openssl dhparam -out dhparams.pem 2048
Ensuite, il faut un template personnalisé pour ses sites web, dans /usr/local/psa/admin/conf/templates/custom/domain. Le fichier à modifier est nginxDomainVirtualHost.php. Il faut ajouter l’option ssl_dhparam en lui mettant le fichier que l’on vient de créer.
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_dhparam/dhparams.pem;
Ensuite on reconfigure et ça devrait aller.
# /usr/local/psa/admin/bin/httpdmng --reconfigure-all
Pour vérifier, tapez :
# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep dh_param
Liens externes
- http://www.nextinpact.com/news/94144-logjam-apres-freak-nouvelle-faille-dans-chiffrement-connexions.htm
- http://forum.odin.com/threads/ssl-poodle-sslv3-bug.323338/#post-761018
- https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
