Bonjour
Quelqu'un connaitrait-il une alternative à ClouFlare pour contourner le problème lié aux protocoles TLS chez OVH en mutualisé. C'est pour un E-commerce et je souhaiterais mettre mon site aux normes PCI.
Je me rend compte que pour un E-commerce, OVH n'est apparemment pas le bon choix c'est dommage car je l'utilise déjà pour un site vitrine et je m'y suis habitué. Donc si vous avez une solution avant que je change d'hébergeur je suis preneur …
Bonjour Damien,
Peux-tu nous préciser quels sont les points bloquant sur nos TLS ?
Merci
Bonsoir Bruno,
A mon avis ce que @DamienL18 veut dire:
Aujourd'hui on a définitivement banni SSLv2 et SSLv3.
TLS 1.0 (et TLS 1.1 ?) devraient suivre, notamment pour avoir d'excellents résultats (voyez ssltest avec Qualys par exemple, grade B).
De plus en plus, pour être certifié il faut avoir désactivé les protocoles faibles ou vulnérables.
Je comprends que pour OVH c'est un dilemme: si on désactive TLS 1.0, les PC Windows XP et Vista et les vieux Mac pourraient se voir refuser les connexions https vers les sites du mutu.
Pour être PCI compliant, TLS 1.0 doit être désactivé: https://sockettools.com/kb/tls-pci-standards-compliance/
Que doit faire le client qui veut monter une boutique PCI compliant ?
Le mutu est-il utilisable ?
Bonsoir @BrunoB-OVHCloud
Merci à @Fritz2cat je n'aurais pas su l'expliquer aussi bien!
Bonjour @BrunoB-OVHCloud
Je n'ai toujours pas de réponse donc je me permet de relancer le sujet.
Bonsoir,
As-tu un numéro de ticket ?
Dans tous les cas, je comprends le besoin pour une notation meilleure, nous préparons d'ailleurs TLS 1.3, mais dans tous les cas, désactiver un protocole sur une infra mutualisée demande beaucoup de précautions, le traffic étant non négligeable sur les anciens protocoles.
Pour être PCI compliant, et je parle de mémoire, il faut que toute l'infrastructure le soit, des serveurs physiques, aux procédures de l'hébergeur mais aussi du développeur qui doivent être documentées avec une précision extrême. Il y a également des scans de sécurité à passer régulièrement, sur mutu, nous ne proposons pas ce service.
Nos offres certifiées PCI-DSS sont listées ici : https://www.ovhcloud.com/fr/enterprise/certification-conformity/pci-dss/
Bonne soirée
Bonjour,
je pense pas qu'il recherche à ce que le mutu soit certifier PCI, juste que c'est un très forte recommandation de toute les autorité de se passer au maximum de TLS 1.0/1.1.
Je crois que même l'ANSSI le recommande avec en prime des certificat RSA de 3072Bits minimum (si les recommandations n'ont pas changés).
Cordialement, janus57
Je répond à Damien et Fritz2cat,
C'est effectivement une recommandation mais il est difficile sur des offres comme les notre de couper trop vite ce type de protocoles.
Nous suivons cela et le trafic concerné afin d'agir en temps nécessaire.
Bonjour,
Nos offres certifiées PCI-DSS sont listées ici : https://www.ovhcloud.com/fr/enterprise/certification-conformity/pci-dss/
perso ma réponse est dû à ce passage, car je vois mal quelqu'un passer d'un mutu à XX€/an à un PCI DSS à XXXX€/mois et cela fait très réponse commerciale/niveau 1 si on exclu le reste de la réponse.
Mais oui, perso je sais que c'est compliqué sur un environnement partagé de couper les vieux protocole.
Par contre vous trouverez sur ce forum des exemple inverse ou OVH n'active QUE des vieux protocole sur des serveur mail et du coup tous les logiciel récent "crache" car le serveur est accessible uniquement en TLS1.0.
Note : ne le prenez pas pour vous c'est juste le ressenti que OVH me donne à l'heure actuel en février 2021.
Cordialement, janus57