Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 08/07/2019 12:10:59
- titiabackup
- Membre
Certificat SHA-256 et version de postgreSQL compatible
Bonjour,
Je travaille sur un projet avec une version de postgreSQL en 9.6.11. Nous avons mis en place des connexions sécurisés sur la base de certificat. Le premier certificat généré était avec une clef de hash en SHA1.
Notre clef a expirée et notre PKI interne a évolué pour émettre des certificats avec une clef en SHA-256.
La mise en place de ce certificat pose problème avec cette version de postgreSQL.
Nous pensons qu'il s'agit d'un bug qui serait référencé ICI
Via cette ligne :
Avoid possible hang in libpq if using SSL and OpenSSL's pending-data buffer contains an exact multiple of 256 bytes
Est-ce que quelqu'un pourrait confirmer ce point ou présenter une version de postgreSQL qui serait compatible avec ses contraintes de sécurité ?
Le nouveau socle de notre entreprise part sur une version 10.
Est-ce que quelqu'un aurait mis en place un certificat en SH256 sur du posgreSQL en 10.9?
Merci d'avance de votre aide.
Hors ligne
#2 08/07/2019 13:12:14
- rjuju
- Administrateur
Re : Certificat SHA-256 et version de postgreSQL compatible
Est-ce que quelqu'un pourrait confirmer ce point
À priori vous, en mettant à jour votre version et en testant.
Julien.
https://rjuju.github.io/
Hors ligne
#3 08/07/2019 14:02:20
- titiabackup
- Membre
Re : Certificat SHA-256 et version de postgreSQL compatible
Bonjour,
La situation n'est pas si simple car dans une organisation structurée. nous en mettons pas à jour des environnements sécurisés comme cela sans étudier les impacts. D’où ma question à des experts qui connaissent le sujet ou la documentation PostgreSQL dans laquelle j'aurais loupé quelque chose.
Hors ligne
#4 08/07/2019 14:21:13
- rjuju
- Administrateur
Re : Certificat SHA-256 et version de postgreSQL compatible
Un des impacts immédiats serait de corriger la CVE indiquée dans le lien, ce qui me semble une bonne chose pour "un environnement sécurisé".
J'imagine que vous avez sinon des environnements de test et qualification, ce qui vous permettrait de pouvoir valider que la nouvelle version corrige votre problème.
Julien.
https://rjuju.github.io/
Hors ligne
#5 09/07/2019 12:23:32
- dverite
- Membre
Re : Certificat SHA-256 et version de postgreSQL compatible
Ce problème "pending-data buffer contains an exact multiple of 256 bytes" n'a pas de rapport techniquement avec le fait que des certificats aient une signature sha-256 plutôt que sha-1.
Les signatures sha-256 sont censées être supportées par toutes les versions de PostgreSQL parce que c'est OpenSSL qui gère ça, pas PostgreSQL à proprement parler.
L'explication la plus plausible pour un certificat non accepté est une erreur de déploiement des fichiers. Ou éventuellement une version d'OpenSSL trop ancienne sur le client ou le serveur, mais ça fait des années que sha-256 est géré.
@DanielVerite
http://blog-postgresql.verite.pro/
Hors ligne