Migration de openssl v1.1.1 vers 3.xx

Suite du sujet Faille CRITICAL dans Openssl :

Bien que le sujet de ce post ne soit pas directement lié au sujet initial, j’ai souhaité faire le lien avec. En effet, openssl est une librairie critique largement répandu à tel point qu’on pourrait l’identifier comme l’une de ces fameuses briques constituant la tour de babel sur laquelle repose nos vies numériques.

Auriez-vous des retours d’expériences d’effet de bord inattendu entre des rétrocompatibilités client serveur dès lors que l’un utilise openssl v1.1.1 et l’autre openssl v3.xx ? Typiquement, je pense à des clients mail ayant une difficulté à établir une connection tls avec un serveur mail et ce, quel que soit le sens de la rétrocompatibilité 1->3 ou 3->1.

(si je ne suis pas très clair, désolé, je suis au max de se que je suis capable de faire :upside_down_face: )

Merci pour le partage.

Si les clients Web ou Mail sont trop vieux pour utiliser des protocoles de sécurité assez récents pour être sécurisé au mieux, c’est un problème plus global, dans lequel il n’y a plus de sécurité.

Autant utiliser telnet dans ce cas. Non?

Je suis pas vraiment d’accord avec toi. Même si j’ai fait partie du temps des dinosaures et que je sais utiliser telnet ou nc , hein :smile:

Typiquement, debian 12 utilise désormais openssl 3.xx je crois. Debian 11, openssl 1.xx. Pour autant debian 11 c’est déjà un dinosaure?

Dans le contexte chatons où les types d’infrastructures sont quand même très variés et souvent containeurisé, je trouve intéressant de poser la question. Et peut-être partager des retours d’expériences.

1 « J'aime »

Au risque de faire un hors sujet, car je crois que ssl n’est plus conseillé pour les mails.
Sur Yunohost, y’a un paramètre qui permet de changer le niveau de sécurité de TLS 1.2 à 1.3 qui est relatif à la sécurité des mails.
de notre coté, passer de TLS1.2 à TLS1.3 a fait bugué mail sur mac os chez un de nos membres, (mais pas sur son iPhone) → le membre à supprimé et recréé son compte sur mail car les mails sont tous stocké sur le serveur.

2 « J'aime »

:+1: Ah ben voilà typiquement ce que j’appelle «un effet de bord» ! Merci pour le partage.

(ya peut-être une confusion entre entre starttls, ssl ou tls mais comme cipher, etc, et openssl qui fournit la couche d’abstraction pour sécuriser une connexion client-serveur entre deux applications.)

[edit] en fait, et à la relecture, cela n’a peut être strictement rien à voir avec le sujet :upside_down_face:

1 « J'aime »

ah j’ai oublié de préciser, seulement la partie envois de mail (configuration SMTP) a buggué chez ce membre sr son mac, pas la réception.

1 « J'aime »

OpenSSL v1.1.1 et v3.x implémentent les même ensembles de ciphers (TLS v1.2, TLS v1.3, etc.). Tu peux vérifier avec openssl ciphers . Utiliser l’une ou l’autre devrait être identique.

1 « J'aime »

Arf, je me rends compte que prendre comme exemple des clients mail était une mauvaise idée. C’est pas grave. C’est dredi.

Oui : https://mailcow.email/posts/2023/arm64-delay/ (ne concerne pas que ARM64)

1 « J'aime »