Page .
Service de gestion des certificats
Définissez le certificat d'autorité (CA) qui créera des signatures pour chiffrer les flux
entre le proxy et le client (fichiers .crt et .key). Utilisez un certificat
généré par votre PKI ou par un outil de gestion de certificats. Ce certificat devra être
déployé par vos soins sur les postes clients.
Avertissement : Les certificats protégés par mot de passe ou passphrase ne sont pas
supportés.
Avertissement : Quel que soit le cas pour générer le CA, le niveau de sécurité du
chiffrement est votre responsabilité. Pour être conforme aux exigences minimales du support
de TLS 1.3, le CA doit respecter les conditions suivantes :
- il doit être chiffré en utilisant un algorihtme plus fort que SHA-1 (SHA-256 ou
équivalent)
- il doit avoir une longeur de clé supérieure à 2048 bits.
Taille de la base : taille du cache qui stocke les empreintes des
certificats générés par l'Olfeo. Le coût de génération de certificats est élevé.
Personnaliser les options SSL
- Choisissez les versions du protocole utilisées pour communiquer avec les serveurs
distants : vous pouvez choisir de refuser d'établir la connexion à des serveurs utilisant
des versions trop vulnérables de TLS. Il est recommandé de désactiver SSL v1, SSL v1.1
sauf si pour les versions les plus anciennes de navigateurs ou de serveurs. Maisil est
préférable de ne pas désactivé TLS v1.2 (cela empêcherait par exemple Google de
fonctionner).
- Activer divers contournements de bugs : correspond à l'option SSL_OP_ALL d'OpenSSL. Cette option peut permettre de gérer certains
problèmes entre d'anciens navigateurs et certains sites. Il est recommandé de la laisser
activée.
Options avancées
Définissez les suites cryptographiques à utiliser pour établir des sessions TLS avec des
serveurs distants. L'option Suites cryptographiques recommandées
cochée par défaut correspond aux suites recommandées par l'ANSSI.