« Sécurisation SSL / TLS de apache » : différence entre les versions

Aller à la navigation Aller à la recherche
(5 versions intermédiaires par le même utilisateur non affichées)
Ligne 20 : Ligne 20 :


==ECDH==
==ECDH==
Par défaut, apache utilise ECC 256 bits quelque soit la taille de la clé rsa utilisé.<br>
Par défaut, apache utilise ECC 256 bits (secp256r1 aussi parfois nommé prime256v1) quelque soit la taille de la clé rsa utilisé.<br>
Vous pouvez cependant forcer l'utilisation d'une courne ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) :  
Vous pouvez cependant forcer l'utilisation d'une courbe ECC plus grande en l'ajoutant après le certificat ssl défini par la directive <code>SSLCertificateFile</code> (il faudra donc le faire pour chaque site que vous sécurisez en ssl ...) :  
<pre>openssl ecparam -name secp384r1 -out /etc/ssl/private/ecdhsecp584r1.pem
 
<pre>openssl ecparam -name secp384r1 -out /etc/ssl/private/ecdhsecp384r1.pem
cat /etc/ssl/private/ecdhsecp384r1.pem >> /etc/ssl/votresite.tld.pem
cat /etc/ssl/private/ecdhsecp384r1.pem >> /etc/ssl/votresite.tld.pem
</pre>
</pre>
Ligne 29 : Ligne 30 :
<pre>openssl ecparam -list_curves</pre>
<pre>openssl ecparam -list_curves</pre>


A l'heure ou j'écris ces lignes, chrome ne supporte que les courbes NIST P-256 et P-384 (pas P-521)
A l'heure ou j'écris ces lignes :
 
* firefox 52 supporte les courbes x25519, secp256r1, secp384r1 et secp521r1
* chrome 57 supporte les courbes tls_grease_8a8a, x25519, secp256r1 et secp384r1
* vous pouvez vous faire une idée des courbes supportés pour chaque navigateur ici : https://www.ssllabs.com/ssltest/clients.html
<br>
On peut aussi vérifier la courbe utilisé :
On peut aussi vérifier la courbe utilisé :
<pre>openssl ecparam -in /etc/ssl/private/ecdhsecp384r1.pem -text -noout</pre>
<pre>openssl ecparam -in /etc/ssl/private/ecdhsecp384r1.pem -text -noout</pre>
Ligne 71 : Ligne 75 :
nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 yoursite.tld
nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 yoursite.tld
</pre>
</pre>
https://ssllabs.com <br>
https://tls.imirhil.fr


=HSTS, HPKP et DANE/TLSA=
=HSTS, HPKP et DANE/TLSA=
4 242

modifications

Menu de navigation