Outils pour utilisateurs

Outils du site


kb:linux:apache2:securiser_les_communications_https

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

kb:linux:apache2:securiser_les_communications_https [2017/12/09 01:19] (Version actuelle)
Ligne 1: Ligne 1:
 +======Sécuriser les communications HTTPS======
  
 +====Configuration====
 +
 +Voici la configuration a ajouter dans les VirtualHost : 
 +
 +<code>
 +# Mise en place du HSTS
 +Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
 +
 +# Il est nécessaire d'activer SSL, sinon c'est http qui sera utilisé
 +SSLEngine On
 +
 +# Les clefs du serveur :
 +SSLCertificateFile /path/to/file/fullchain.pem
 +SSLCertificateKeyFile /path/to/file/privkey.pem
 +
 +# On autorise TLSv1.2, on rejette les autres
 +SSLProtocol -all +TLSv1.2
 +
 +# On autorise uniquement les clefs de cryptage longue (high).
 +SSLCipherSuite HIGH:!kRSA:!kDHr:!kDHd:!kSRP:!aNULL:!3DES:!MD5
 +</code>
 +
 +et il suffira d'activer les modules correspondants :
 +<code>
 +a2enmod ssl
 +a2enmod headers
 +</code> 
 +
 +
 +====Tests====
 +Pour vérifier l’efficacité, lancer le test sur [[https://tls.imirhil.fr]]\\
 +Le projet est OpenSource, et disponible [[https://github.com/aeris/cryptcheck | ici]]
 +
 +==La notation est simple :==
 +De **A+** à **F** avec pour référence **A** qui équivaut a la recommandation de la [[https://tools.ietf.org/html/rfc7525 | RFC7525]]\\
 +**M** indique que le certificat ne correspond pas au bon nom de domaine\\
 +**T** indique que le certificat n'est pas validé par un certificat d'autorité root
 +
 +//Attention, le test prend la configuration des protocoles par le premier VirtualHost.//
kb/linux/apache2/securiser_les_communications_https.txt · Dernière modification: 2017/12/09 01:19 (modification externe)