Win3x.Org

Windows & DOS Community

Les serveurs avec un chiffrement obsolète

Forum rules

Pour tout sujet impliquant un système d'exploitation daté de 2000 à nos jours, merci de le publier dans la section intitulée « Informatique moderne ».

Post Reply   Page 1 of 3  [ 21 posts ]
Jump to page 1 2 3 »
Author Message
Big Monstro
Post subject: Les serveurs avec un chiffrement obsolète
Posted: 14 Nov 2021 00:39
Administrateur
User avatar
Offline
 
Posts: 4004
Joined: 27 Jun 2003 15:15
Retro PC: 80486 DX2/66, MS-DOS & Windows
 
Certains serveurs sont configurés avec des réglages d'un autre temps, ce qui les rend compatibles avec de vieux clients en https.

Par exemple visa.mofa.gov.vn (qui redirige les requêtes http vers le https, bien que le site semble avoir été prévu pour IE6, car il s'affiche très bien)

Evidemment, son score sur ssllabs.com est catastrophique (c'est d'ailleurs par ce biais que je l'ai trouvé) : ssllabs.com/ssltest/analyze.html?d=visa.mofa.gov.vn

vietnam.png

Encore mieux, j'ai eu l'occasion de dénicher une perle rare : un serveur dont le certificat n'a plus été mis à jour depuis quatorze ans (et périmé depuis plus de onze ans) : ssllabs.com/ssltest/analyze.html?d=knjiznica.phy.hr

Ce certificat peut utiliser le cryptage RC4 40 bits et un hash MD5 avec une clé 128 bits. Les protocoles SSL 2.0 et SSL 3.0 sont activés sur le serveur.

J'ai ainsi réussi à établir une connexion « sécurisée » avec un navigateur de 1997 (IE 4.0). J'ai eu envie d'immortaliser ce moment improbable en 2021 via cette capture d'écran :

knjiznica.phy.hr_ie4.png

Edit: si vous entrez l'adresse https://knjiznica.phy.hr, vous êtes redirigé vers http://www.pmf.unizg.hr/phy/knjiznica (un site moderne qui fait planter IE4). Par contre, https://knjiznica.phy.hr/radovi/default.aspx vous amène à une page compatible. L'émetteur du certificat (racine) n'est pas reconnu par IE4 (il l'est pour IE5.01) mais cela n'empêche pas la connexion après avoir validé un message d'erreur. Sans surprise, les versions récentes de Chrome ne peuvent plus communiquer avec ce serveur en https.


Top
Profile Quote
Matthias
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 14 Nov 2021 18:29
Membre d'honneur
User avatar
Offline
 
Posts: 1592
Joined: 26 Mar 2008 23:05
Retro PC: MSI K7T Turbo2 avec Windows XP SP3
 
C'est assez impressionnant de voir des sites encore compatibles avec IE4 en 2021.

Ce serait plutôt faisable de créer un serveur avec un certificat compatible IE4 ou autres, mais pas vraiment sécurisé, à l'heure qu'il est :lol:

Cryptage 40-bits... Pas étonnant que Google Chrome n'en veuille plus :mrred: !

_________________

♦ Cliquez ici, vous aurez l'heure céans.
♦ Mon blog officiel.


Top
Profile Quote
Joet BERNARD
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 14 Nov 2021 19:02
Modérateur
User avatar
Offline
 
Posts: 2560
Joined: 19 Mar 2016 20:33
Retro PC: Compaq Presario 1926, Celeron 400 MHz, 192 Mo RAM
 
Est-il possible de faire ça avec Win3x ?

_________________

Accueil de mon Index de sites
Accueil de WINJOY (version "Theta" déployée | Iota en vue ?)
Collection ± à jour, en travaux 🚧⚠️🚧
Mon serveur Discord
KB835732


Top
Profile Quote
Deksor
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 14 Nov 2021 19:05
Membre d'honneur
User avatar
Offline
 
Posts: 5298
Joined: 23 May 2011 13:33
Retro PC: 486DX 33 8mo SB Pro 2, P2 450 128mo Voodoo 2 SLI
 
Ça ne sert à rien, ce chiffrement est "cassé", ce qui veut dire qu'on peut chiffrer et déchiffrer tout ce qui passe ... Autant rester sur du HTTP.

_________________

À la recherche de documentation pour une vieille carte mère ? Visitez TheRetroWeb !


Top
Profile Quote
Big Monstro
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 14 Nov 2021 21:45
Administrateur
User avatar
Offline
 
Posts: 4004
Joined: 27 Jun 2003 15:15
Retro PC: 80486 DX2/66, MS-DOS & Windows
 
Même dans les années 90, le chiffrement sur 40 ou 56 bits était bidon. Le cryptage 128 bits existait déjà mais le gouvernement des Etats-Unis bridait délibérément les algorithmes utilisés par le reste du monde...

Pour plus d'informations sur le sujet (et les conséquences, jusqu'à une période récente : 2016 !) : Mais la restriction s'appliquait surtout aux serveurs établis en dehors du territoire américain. Côté client, il était assez facile de changer ça, et Microsoft fournissait les patches (dispos sur Win3x.Org)
Chiffrement 128-bit / High Encryption for IE 3.02 (163 KB) Hits : 176
Chiffrement 128-bit / High Encryption for IE 4.x 16-bit (123 KB) Hits : 174
Chiffrement 128-bit / High Encryption for IE 4.01 SP1+ (190 KB) Hits : 183
Chiffrement 128-bit / High Encryption for IE 5.0 16-bit (130 KB) Hits : 297
Chiffrement 128-bit / High Encryption for IE 5.0 32-bit (174 KB) Hits : 201
Chiffrement 128-bit / High Encryption for IE 5.01 (174 KB) Hits : 199
Ces mises à jour ne doivent plus servir à grand chose... sauf lorsqu'on tombe sur un serveur https laissé à l'abandon depuis des lustres.

Evidemment, si le serveur avec lequel on communiquait ne proposait que des algorithmes sur 40 ou 56 bits, installer ça ne changeait rien.


Top
Profile Quote
Joet BERNARD
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 14 Nov 2021 22:09
Modérateur
User avatar
Offline
 
Posts: 2560
Joined: 19 Mar 2016 20:33
Retro PC: Compaq Presario 1926, Celeron 400 MHz, 192 Mo RAM
 
Mais a des fins de conservation ça peut devenir inestimable pour les collectionneurs ou historiens Informatique

_________________

Accueil de mon Index de sites
Accueil de WINJOY (version "Theta" déployée | Iota en vue ?)
Collection ± à jour, en travaux 🚧⚠️🚧
Mon serveur Discord
KB835732


Top
Profile Quote
Big Monstro
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 15 Nov 2021 00:41
Administrateur
User avatar
Offline
 
Posts: 4004
Joined: 27 Jun 2003 15:15
Retro PC: 80486 DX2/66, MS-DOS & Windows
 
Joet BERNARD wrote: *  14 Nov 2021 19:02
Est-il possible de faire ça avec Win3x ?
Un jour peut-être, si j'ai du temps à perdre, je m'amuserais à mettre en place un accès chiffré "à l'ancienne" sur un serveur de test (pas celui qui héberge le forum !).

Cela ne devrait pas être une sinécure, car aucune autorité ne doit encore fournir des certificats compatibles (Google Chrome n'apprécie plus les signatures SHA1 depuis plus de cinq ans. Or, le SHA2 nécessite au moins IE6 SP3, donc XP SP3). Il faudrait donc créer son propre certificat, l'auto-signer (ce qui génèrera un message d'erreur, bien que cela n'empêchera pas la connexion) et paramétrer le serveur pour qu'il accepte le SSL 3.0 / algorithmes obsolètes (les versions récentes d'OpenSSL ne permettent pas facilement cela, j'ai lu qu'il faut recompiler...). Je suppose que le SSL 2.0 peut être oublié (même IE3 et IE4 connaissent le SSL 3.0. Chez Microsoft, il n'y a que IE2 qui est limité au SSL 2.0, tandis que IE 1.x ne gère pas le https). Tout cela n'aurait aucun intérêt pratique car, comme l'a écrit Deksor, on ne peut plus appeler ça du http "sécurisé".

Pour anecdote, pour peu qu'on ait réactivé le support du TLS 1.0, Firefox est toujours en mesure d'accéder au serveur avec le certificat périmé compatible avec IE4/IE5. Je vous laisse admirer le résultat :

firefox94_tls1.0.png

En plus du SSL 2.0 et du SSL 3.0 + chiffrements 40/56 bits et du RC4 128 bits (non sécurisés pour ssllabs.com), le serveur supporte tout de même le TLS 1.0 et l'algorithme TLS_RSA_WITH_3DES_EDE_CBC_SHA 112 bits, gérés par Firefox 94.

Chrome 95 n'a aucun algorithme en commun avec le serveur d'après ssllabs.com (et je ne parviens pas à réactiver TLS 1.0), donc il n'y a pas d'avertissement lié au certificat ou à la faiblesse du chiffrement, la négociation échoue tout simplement.


Top
Profile Quote
Matthias
Post subject: Re: Allez sur internet sous Windows xp une galère !
Posted: 15 Nov 2021 11:39
Membre d'honneur
User avatar
Offline
 
Posts: 1592
Joined: 26 Mar 2008 23:05
Retro PC: MSI K7T Turbo2 avec Windows XP SP3
 
Très intéressant, tout ça! Ne serait-il pas possible de générer un certificat sous une ancienne version IIS de Microsoft ?

Je pense en tous cas que cette solution de serveur serait tout-à-fait en mesure d'accueillir des versions anciennes de certificats en vigueur dans les années 1990 et 2000. Mais il faudrait héberger ça sur un serveur qui ne risque rien. :lol: Par exemple, un sous-domaine qui ne soit pas indexé par les moteurs de recherche communs: ie6.win3x.org, old-domain.win3x.org, ssl2.win3x.org, etc.

_________________

♦ Cliquez ici, vous aurez l'heure céans.
♦ Mon blog officiel.


Top
Profile Quote
Big Monstro
Post subject: Re: Les serveurs avec un chiffrement obsolète
Posted: 01 Dec 2021 20:57
Administrateur
User avatar
Offline
 
Posts: 4004
Joined: 27 Jun 2003 15:15
Retro PC: 80486 DX2/66, MS-DOS & Windows
 
Big Monstro wrote: *  14 Nov 2021 21:45
Même dans les années 90, le chiffrement sur 40 ou 56 bits était bidon. Le cryptage 128 bits existait déjà mais le gouvernement des Etats-Unis bridait délibérément les algorithmes utilisés par le reste du monde...
J'ajoute que le Canada avait l'autorisation de son voisin pour utiliser les algorithmes 128 bits. C'est pourquoi une version française du SP6a pour Windows NT 4.0 incluait d'emblée le chiffrement 128 bits ; elle était en fait destinée au Canada francophone, et non à la France.

Pour en revenir au site croate, sa configuration n'a pas changé et les certificats SHA1 périmés sont toujours actifs : je peux donc toujours m'amuser à tester le chiffrement sur de vieux navigateurs ^^

expired_certificates.gif

Windows for Workgroups 3.11

IE4+ et Netscape 4.08 peuvent encore établir une connexion chiffrée avec ce serveur. Ces navigateurs ne peuvent toutefois utiliser que le protocole SSL 3.0 au mieux (y compris "IE5" 16-bit, contrairement au véritable IE5 prévu pour Windows 95 et ultérieur) et le niveau de chiffrement est limité à 40 bits par défaut (en tout cas pour IE, en l'absence de patch).

Étant un peu plus récent (mars 2000), la dernière version Win16 du navigateur Opera (3.62) est capable de (dé)chiffrer sur 128 bits sans avoir besoin d'installer un correctif quelconque. Mieux, il prend en charge le protocole TLS 1.0 !

opera362_tls1.gif


Bien qu'il émette des réserves sur le certificat (comme les autres navigateurs Win16, car ils ne reconnaissent pas l'émetteur de la racine : GTE CyberTrust), cela n'empêche pas la connexion :

opera362_https.gif
Matthias wrote: *  15 Nov 2021 11:39
Très intéressant, tout ça! Ne serait-il pas possible de générer un certificat sous une ancienne version IIS de Microsoft ?
Ce qui serait sympa, ce serait de faire cohabiter deux certificats "non racines" pour un même site, l'un signé en SHA1 et l'autre en SHA2. Facebook et d'autres sites l'ont fait (du moins il y a cinq ans, lors de la transition SHA1 --> SHA2). L'idée est de fournir un certificat SHA1 aux anciens clients tout en recourant à une meilleure sécurité pour ceux qui peuvent gérer le SHA2. On peut facilement activer plusieurs protocoles et plusieurs algorithmes de chiffrement, pourquoi pas plusieurs certificats pour un même nom de domaine ?


Top
Profile Quote
Matthias
Post subject: Re: Les serveurs avec un chiffrement obsolète
Posted: 01 Dec 2021 22:59
Membre d'honneur
User avatar
Offline
 
Posts: 1592
Joined: 26 Mar 2008 23:05
Retro PC: MSI K7T Turbo2 avec Windows XP SP3
 
Oui ce serait utile, surtout pour les formulaires de connexion qui font usage de mots de passe.

À la rigueur, ne mettre aucun cryptage sur les autres pages serait déjà adéquat, mais bon. :mrred:

Oui, car ça fait quand même un peu chauffer le processeur, de décoder des pages cryptées.

_________________

♦ Cliquez ici, vous aurez l'heure céans.
♦ Mon blog officiel.


Top
Profile Quote
Display: Sort by: Direction:
Post Reply   Page 1 of 3  [ 21 posts ]
Return to “Informatique des vieux systèmes” | Jump to page 1 2 3 »
Jump to: