recommended ciphersuite , and wget in bash

le ciphersuite recommandé provient du site https://cipherli.st/

qui est tenu à jour et qui contient les exemples de configuration pour plusieurs middlewares

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

 

le ciphersuite est une suite de protocoles autorisés , séparés par ‘:’ , le ‘+’ est un ‘et logique’ ;

le ‘-‘ n’est pas un signe de syntaxe, DHE-RSA-AES256-SHA désigne une seule combinaison

les ciphers concernent  : le protocole (SSL,TLS) , Kx key exchange, Au l’authentification  , Enc l’encryption , (Mac Digest plus rarement)

 

Commande pour vérifier les protocoles possibles :

 

openssl ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH -v
 
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
 
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1

ici, AES256+EDH affiche les protocoles avec EDH (key exchange = DH) ET Encryption=AES256

voilà. c’était un condensé qui a l’air simple comme ça, mais quand on se retrouve devant un cipherlist à mettre, et un openssl cipher, on copie colle sans comprendre pourquoi cette formule magique marche, et on espère que personne ne va poser de question.

 

 

Maintenant le telnet en bash (merci JCC, corrigé par linuxjournal) avec un exec + canal tcp

exec 3<>/dev/tcp/www.google.com/80
echo -e "GET / HTTP/1.1\r\nhost: http://www.google.com\r\nConnection: close\r\n\r\n" >&3
cat <&3

ça sert pas et ça marche pas bien, mais c’est quand même fun …