4 231
modifications
« Sécurisation SSL / TLS de apache » : différence entre les versions
Aller à la navigation
Aller à la recherche
Sécurisation SSL / TLS de apache (voir la source)
Version du 25 juillet 2022 à 11:32
, 25 juillet 2022→Configuration recommandée pour une sécurité maximum
(→ECDH) |
|||
| (4 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 20 : | Ligne 20 : | ||
==ECDH== | ==ECDH== | ||
Par défaut, apache utilise ECC 256 bits (secp256r1) quelque soit la taille de la clé rsa utilisé.<br> | Par défaut, apache utilise ECC 256 bits (secp256r1 aussi parfois nommé prime256v1) quelque soit la taille de la clé rsa utilisé.<br> | ||
Vous pouvez cependant forcer l'utilisation d'une courbe ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) : | Vous pouvez cependant forcer l'utilisation d'une courbe ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) : | ||
| Ligne 30 : | Ligne 30 : | ||
<pre>openssl ecparam -list_curves</pre> | <pre>openssl ecparam -list_curves</pre> | ||
A l'heure ou j'écris ces lignes, chrome | A l'heure ou j'écris ces lignes : | ||
* firefox 52 supporte les courbes x25519, secp256r1, secp384r1 et secp521r1 | |||
* chrome 57 supporte les courbes tls_grease_8a8a, x25519, secp256r1 et secp384r1 | |||
* vous pouvez vous faire une idée des courbes supportés pour chaque navigateur ici : https://www.ssllabs.com/ssltest/clients.html | |||
<br> | |||
On peut aussi vérifier la courbe utilisé : | On peut aussi vérifier la courbe utilisé : | ||
<pre>openssl ecparam -in /etc/ssl/private/ecdhsecp384r1.pem -text -noout</pre> | <pre>openssl ecparam -in /etc/ssl/private/ecdhsecp384r1.pem -text -noout</pre> | ||
| Ligne 62 : | Ligne 65 : | ||
</pre> | </pre> | ||
Accessoirement, mozilla a publié [https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations | un guide] ainsi qu'un [https:/ | Accessoirement, mozilla a publié [https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations | un guide] ainsi qu'un [https://ssl-config.mozilla.org/ | générateur de configuration] plutôt efficace. | ||
=tests= | =tests= | ||
| Ligne 72 : | Ligne 75 : | ||
nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 yoursite.tld | nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 yoursite.tld | ||
</pre> | </pre> | ||
https://ssllabs.com <br> | |||
https://tls.imirhil.fr | |||
=HSTS, HPKP et DANE/TLSA= | =HSTS, HPKP et DANE/TLSA= | ||