Forums Sécurité Sécurité Cryptologie

Tester la compression SSL

Le
Kevin Denis
Bonjour,

Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

mais est-ce possible de la demander au serveur?

Merci
--
Kevin
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Tanguy Ortolo
Le #24793512
Kevin Denis, 2012-09-18 16:45+0200:
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée

mais est-ce possible de la demander au serveur?



Bonne question, mais spontanément il me semblerait plutôt que openssl
s_client, ou gnutls-cli — c'est mieux comme outil ! — devrait la
demander systématiquement et afficher si le serveur la prend en charge
ou non.

--
  ____   Tanguy Ortolo
 /_   ______________
((_)   _ .--^---^^-^-'
 ____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847:
Répondre en citant
Thomas Pornin
Le #24793802
According to Kevin Denis
Savez vous s'il est possible de savoir si un serveur utilise la
compression SSL/TLS à l'aide d'une commande openssl ou autre?

Si j'utilise un simple:
openssl s_client -connect site:443 -ssl3
alors je constate que la compression n'est pas utilisée
(snip..)
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

mais est-ce possible de la demander au serveur?



En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).

(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)


--Thomas Pornin
Répondre en citant
Kevin Denis
Le #24797872
Le 18-09-2012, Thomas Pornin
En fait ça a demandé au serveur. En SSL, le client propose mais le
serveur dispose. OpenSSL ajout dans son ClientHello "je sais faire
de la compression Deflate" mais si à la fin il y a "Compression: NONE",
c'est que le _serveur_ n'a pas daigné utiliser la compression (soit
qu'il ne sait pas faire, soit qu'il ne veut pas faire).



Ok. Par contre, j'ai beau tester un grand nombre de serveurs, tous
m'indiquent "Compression: NONE". J'ai conscience que les grands
ont vraisemblablement désactivé la compression dernièrement le cas
échéant, mais on devrait trouver tout de même des serveurs autorisant
la compression SSL. Même mes sites qui ont une configuration par
défaut n'ont pas la compression.
De fait, je me demande quelle est la portée de la faille liée à
la compression SSL si aucun site ne l'autorise (?)

(Pour voir qu'OpenSSL propose bien la compression, il faut utiliser -msg
et analyser "à la main" le ClientHello envoyé.)



Ok.

Merci
--
Kevin
Répondre en citant
Thomas Pornin
Le #24798052
According to Kevin Denis
Même mes sites qui ont une configuration par défaut n'ont pas la
compression.



Le mien l'a. C'est un Apache brut fourni avec un Linux de base (Ubuntu
12.04, SSL par mod_ssl).

IIS n'a jamais supporté la compression sur TLS (il supporte celle en
HTTP, mais ce n'est pas de celle-là qu'on parle).


--Thomas Pornin
Répondre en citant
Poster une réponse
Anonyme