Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/03/11 15:54] – beu
+++ kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/09/23 20:03] (Version actuelle) – beu
@@ Ligne 1: / Ligne 1: @@
-======= Nginx avec TLSv1.3 sous Debian ======
+======= Nginx avec TLSv1.3 sous Debian Stretch======
 Pour cela, il va vous falloir Nginx 1.13 ou plus, et OpenSSL 1.1.1 ou plus.
@@ Ligne 23: / Ligne 23: @@
 </code>
-==== Installation de OpenSSL depuis le dépot de Sury Debian ====
+==== Installation de OpenSSL depuis le dépot de Sury ====
 OpenSSL 1.1.1 n'est pas dans les dépots officiel de Debian, mais dans le dépot d'un certain [[https://deb.sury.org/|Sury]] (Maintener de Debian depuis l'année 2000), au coté notamment de PHP 7.3 par exemple.
@@ Ligne 49: / Ligne 49: @@
 <code bash>
 # apt update && apt dist-upgrade -y
+</code>
+==== Configuration de Nginx ====
+Il vous faudra configurer Nginx comme ceci afin d'activer le TLSv1.3 ainsi que les bonnes pratiques :
+<code config nginx.conf [enable_line_numbers="true", start_line_numbers_at="30"]>
+        ##
+        # SSL Settings
+        ##
+        ssl_protocols TLSv1.2 TLSv1.3;
+        ssl_prefer_server_ciphers on;
+        ssl_ecdh_curve secp384r1:prime256v1;
+        ssl_ciphers  ECDHE-ECDSA-AES128-GCM-SHA512:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305-D:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
+        ssl_session_timeout  10m;
+        ssl_session_cache shared:SSL:9m;
+        ssl_session_tickets off;
+        ssl_stapling on;
+        ssl_stapling_verify on;
+</code>
+et pour finir redémarrer nginx
+<code bash>
+# systemctl restart nginx
 </code>