Dans un autre sujet, il est proposé aux nouveaux chatons de renforcer leurs versions de TLS.
J’interviens juste là dessus pour partager le fond du débat qui a animé YunoHost à une époque où nous avions de nombreuses PR proposant tels ou tels réglages de sécurité. Parce qu’« il parait » c’est mieux etc. PR qui par ailleurs sont chronophages du fait du débat qu’elles génèrent avant leurs intégrations (ou pas).
La conclusion c’est que YunoHost propose par défaut pour les serveurs web et smtp un réglage avec les recommandations « intermediate » de mozilla. Ceci dans le but d’éviter que les utilisateurs et utilisatrices finales ne soient contraintes de jeter leurs smartphones alors que le matériel fonctionne encore. A priori, les recommandations « intermediate » n’incluent pas de protocoles troués.
Une option permet de forcer en moderne, mais elle est peu connue et activable uniquement avec la CLI. Elle sera un jour proposée dans la webadmin avec un warning d’avertissement sur les conséquences de ce réglage.
Les PR fermées ou intégrées sont toujours listées sur github, donc il est possible de relire les débats en entier.
Je trouve que la question de fond est intéressante, dans quelle mesure le non support d’ancien protocole (toujours pas troués) implique la création d’une obsolescence qui pourrait être évitée. Je pense que globalement les tech en sécurité n’ont pas assez cette question en tête. Et évidement en tant que tech au sein de chatons nous sommes concerné⋅es.
A une autre échelle, Let’s Encrypt avait annoncé en octobre ne plus supporter par défaut android <7.1 à partir de janvier 2021, et heureusement ils et elles ont trouvés une solution (sinon vous imaginez le désastre).