Correctifs de SNS 4.3.31 LTSB

Système

SMC - Suites de chiffrement utilisables avec un firewall SNS

Les suites de chiffrement utilisables lors de la communication entre un firewall SNS et son serveur d'administration SMC sont désormais uniquement les suivantes :

• TLS_AES_128_GCM_SHA256,
• TLS_CHACHA20_POLY1305_SHA256,
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
• TLS_EMPTY_RENEGOTIATION_INFO_SCSV.

Ces suites de chiffrement ont été supprimées :

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256.

Certificats et PKI

Le firewall vérifie désormais correctement le contenu de l'extension basicConstraints du certificat d'une autorité de certification (CA).

Une option de configuration permet d'autoriser ou non l'import d'une CA pour laquelle cette extension n'a pas de valeur : il s'agit du jeton de configuration StrictCACheck, présent dans le fichier ConfigFiles > system. L'import d'une telle CA est autorisé lorsque la valeur 0 est affectée à ce jeton.