Follow

Quelqu'un saurait me dire comment être sûr que mon fetch PHP over cURL (over NSS, centOS 7), est capable de faire du TLSv1.2 avec certain ciphers?

On a un presta de type "envoyeur de SMS", qui nous raconte qu'il faudra supporter tls 1.2 ou 1.3, avec tel ou tel ciphers pour dans quelque mois. Or le cURL en question discute en 1.1 (je supppse, puisque pas de retour de ssl version avec -vv) avec leur serveur (si le force en 1.2, à la main ça marche bien)

@Sp3r4z Wireshark pour vérifier. Sinon tu tapes sur mon site internet, il est 1.2+ only 😂

@aeris j'ai fais exactement ça, taper sur ton site, 1.2 qui est okay, pareil si je force sur leur site avec cURL en -tlsv1.2 ça fonctionne. Ce que je ne pige pas, c'est pourquoi c'est 1.1 qui est handshaked et pas 1.2…
Leur serveur piqe pas an truc? Mon cURL est idiot?

@aeris c'est TLSv1, d'après tshark… c'est naze 😩

En fait, le cURL tape par défaut en 1.0… c'est assez sogrenu 😞

@aeris cryptcheck.fr/https/contact-ev ça, et ils vont virer 1.0 et 1.1

Mais ça semble être le cURL de centOS 7, qui commence par le weakest…

@Sp3r4z @aeris S'il supporte les versions supérieures, et je vois que c'est le cas, pourquoi il tape dans du 1.0 😲

Je croyais que TLS négocie par défaut la version commune le plus élevée (sauf en cas de downgrade bien sûr)… Y a un bug qui fait que ? À ma connnaissance y a pas de conf pour forcer une version basse de TLS sans désactiver toutes les versions supérieures suportées, et une telle option n'aurai aucun intérêt. Donc ça peut être du à une mauvaise conf, si? Ça me perturbe…

option n'aurai aucun intérêt. Donc ça peut être du à une mauvaise conf, si? Ça me perturbe… @Sp3r4z @aeris - 2/2

@devnull bug de la version de cURL, visiblement internet dit ça… il faut donc la forcer si on veut une version correcte de base. Et le cURL (la version utilisée ici) de base ne sait pas gérer autre chose que TLSv1, donc pas d'upgrade, impossibilité de taper chez imirhil…

@aeris

@Sp3r4z @aeris C'est quoi comme version de curl/compilée avec quelle bibliothèque TLS? Pour supporter TLS 1.2 si forcé mais sans l'utiliser par défaut. Ce serait pas fixé par une variable d'env curl¹ (je rêve…)?

Même sur android 9, curl 7.68 assez récent (compilé début 2020), mais utilisant OpenSSL 1.1.1b (< version buster) cause TLSv1.3 par défaut.

J'ai pas compris si CentOS 6, c'est le serveur en face ou c'est la machine sur la quelle tu lance curl (auquel cas ça répond déjà à ma question).

@Sp3r4z

Le debug de TLS… 😭😭😭😭😭

1. Je veux dire le bug de la version curl qui force TLSv1 dans une version qui supporte les.tensions suivantes, est un bug dans le binaire, ou juste une conf par défaut foireuse ? Vu que curl à 36 milles variables d'environnements, je les connais pas toutes, mais je serai pas étonné qu'il y en une pour fixer la version de TLS max par défaut.

@aeris

@devnull curl 7.29 / NSS 3.15.4

C'est pas à jour, c'était ça le soucis (bon l'appli marche plus, après update, du coup… mais c'est une autre affaire) une fois maj le curl réagit de façon attendue

@Sp3r4z OK, merci pour l'info, javais mal compris, j'ai cru qu'il y avait pas d'upgrade dispo sur la distro concernée.

@devnull visiblement si, mais ne gérant que le code, les maj sont pas de mon fait… et c'est jamais très à jour…

@devnull @aeris c'était en effet la version de cURL pas à jour… les updates c'est surfait visiblement…

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!