Discussion :

[sinifer]

Bonjour,

J'ai un site internet en interne sur nos serveur, et j'ai reçue un de nos clients qui n'arrive pas à ce connecter sur notre site qui m'ont demander de faire des modifications:

3. Forward Secrecy
La négociation d’encryptions transport par Diffie-Hellman / Forward Secrecy est une très bonne chose, car ça prévient des attaques « man-in-the-middle » jusqu’un certain niveau. Par contre, nous sommes une banque et pour cette raison nous sommes soumis à diverses régulations légales, comme la « Loi fédérale sur les banques et les caisses d'épargne » et plus forcément à l’ « Autorité fédérale de surveillance des marchés financiers (FINMA) » .
À cause de ces diverses régulations et pour la raison, que nous sommes un objectif d’attaques, nous sommes obligés d’intercepter et d’analyser tous les trafics d’informations. Forward Secrecy prévient cette obligation.

Suite au faits présentés je vous demande de procéder comme mentionné si suivant :

Excluez s’il-vous-plait la fonction Forward Secrecy pour les adresses IP suivantes de 194.21.223.1 jusqu’à 194.21.223.254

Mais là je bloque je sais pas ou aller et comment faire es-ce sur windows server 2012 que je dois effectuer cette modif ou sur le firwall?

Si c'est sur Windows merci de me le confirmer et si vous avez une piste ou mieux si vous savez comment faire je suis tout oui.

Merci d'avance pour votre précieuse aide.

[JML19]

Bonsoir

Je pense qu'il faut modifier le certificat SSL de sécurité sur le site.

[sinifer]

Merci JML19,

Mais quant tu dis qu'il faut modifié le certificat je comprend pas trop je dois en acheter un autre ou je peux mettre l'exception d'ip dedans?

[JML19]

Merci JML19,

Mais quant tu dis qu'il faut modifié le certificat je comprend pas trop je dois en acheter un autre ou je peux mettre l'exception d'ip dedans?

Bonjour

Je ne suis pas sur mais je pense qu'il doit être paramétrable.

[A&Nexus]

Bonjour,

Cela ne concerne pas le certificat mais le processus de cryptage et ses paramétrages (RSA/TLS...).
Ce blog explique bien comment l'activer et comment protéger au mieux IIS.
https://www.hass.de/content/setup-yo...ecy-and-tls-12

Ce site te permet de tester le statut d'un site web :
https://www.ssllabs.com/ssltest/

[sinifer]

Merci A&Nexus,

Mais j'ai pas bien compris ou es-ce que je dois Exclure la fonction Forward Secrecy pour les adresses IP 194.21.223.1 à 194.21.223.254

[sinifer]

Re,

Par rapport à ce que tu m'as envoyé j'ai trouvé ça:

https://scotthelme.co.uk/getting-an-...ndows-edition/

Du coup j'ai téléchargé iis crypto et vais voir si sa marche mais j'espère que c'est en rapport avec mon problème, bien que sa m'explique pas comment exclure ces IP de 194.21.223.1 jusqu’à 194.21.223.254

[A&Nexus]

Tu peux pas vraiment l'exclure juste pour leurs IPs. De mon côté je ne vois pas comment.
A part un système de reverse proxy en amont qui redirigerait leurs IP publiques vers un autre serveur IIS ou vers un reverseproxy apache.