le ciphersuite recommandé provient du site https://cipherli.st/
qui est tenu à jour et qui contient les exemples de configuration pour plusieurs middlewares
EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
le ciphersuite est une suite de protocoles autorisés , séparés par ‘:’ , le ‘+’ est un ‘et logique’ ;
le ‘-‘ n’est pas un signe de syntaxe, DHE-RSA-AES256-SHA désigne une seule combinaison
les ciphers concernent : le protocole (SSL,TLS) , Kx key exchange, Au l’authentification , Enc l’encryption , (Mac Digest plus rarement)
Commande pour vérifier les protocoles possibles :
openssl ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH -v
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
ici, AES256+EDH affiche les protocoles avec EDH (key exchange = DH) ET Encryption=AES256
voilà. c’était un condensé qui a l’air simple comme ça, mais quand on se retrouve devant un cipherlist à mettre, et un openssl cipher, on copie colle sans comprendre pourquoi cette formule magique marche, et on espère que personne ne va poser de question.
Maintenant le telnet en bash (merci JCC, corrigé par linuxjournal) avec un exec + canal tcp
exec 3<>/dev/tcp/www.google.com/80
echo -e "GET / HTTP/1.1\r\nhost: http://www.google.com\r\nConnection: close\r\n\r\n" >&3
cat <&3
ça sert pas et ça marche pas bien, mais c’est quand même fun …