Documentation

Profils TLS

Pour implémenter TLS et chiffrer les communications entre les clients et Vulture, il est nécessaire de créer un profil TLS et de l’associer à un listener.

Les profils TLS sont configurables depuis l’onglet SSL Profile de la GUI, voici le menu d’édition d’un profil TLS :

Page overview

Friendly name : Nom du profil SSL. SSL Crypto Engine : Type d’accélérateur matériel à utiliser (Software engine si aucun matériel physique détecté). X509 Certificate to use : Certificat serveur qui sera présenté par ce profil, les certificats sont disponibles dans l’onglet « PKI » de la GUI. Accepted protocols : Version minimum du protocole de sécurisation acceptée par le serveur, si le client présente une version inférieure la connexion sera refusée. Accepted ciphers : Algorithmes de chiffrements et de hachages acceptés ou refusés (!) par le serveur (ces derniers sont par défaut réglés pour une connexion TLS 1.2). Vous trouverez plus d’informations sur les algorithmes de chiffrements ici. Honor Cipher Order : Si cette directive est activée, les préférences du serveur seront imposées au client par ordre décroissant de sécurité: Le premier algorithme qui satisfait à la fois le client et le serveur sera choisi. Ceci empêche un client de négocier explicitement un algorithme de chiffrement faible.

Info: pour activer HTTP/2, il est nécessaire d’accepter TLS version 1.2 minimum. Aussi, voici un exemple d’une liste d’algorithmes de chiffrement accepté à ajouter dans « Accepted ciphers » : « ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK »

Les certificats clients

Page overview

  • Not Required : Aucun certificat client n’est requis.
  • Optional, but need to be valid : Le client peut présenter un certificat valide.
  • Required : Le client doit présenter un certificat valide.
  • Optional, and do not need to be valid : Le client peut présenter un certificat valide, mais il n’est pas nécessaire que ce dernier soit vérifiable (avec succès).

D’autres onglets optionnels sont disponibles ils permettent notamment de gérer :

  • La mise en place du protocole OCSP
  • La customisation avancée du mod_ssl d’Apache.