{"id":249,"date":"2015-06-16T00:29:43","date_gmt":"2015-06-15T23:29:43","guid":{"rendered":"http:\/\/blog.brimbelle.org\/?p=249"},"modified":"2015-06-16T12:57:26","modified_gmt":"2015-06-16T11:57:26","slug":"checklist-https","status":"publish","type":"post","link":"https:\/\/blog.brimbelle.org\/index.php\/2015\/06\/16\/checklist-https\/","title":{"rendered":"Checklist HTTPS"},"content":{"rendered":"

\"a_plus\"<\/a>Depuis les r\u00e9v\u00e9lations de Snowden,\u00a0Heartbleed<\/a> en 2014 et l’actualit\u00e9 en g\u00e9n\u00e9ral… la cryptographie et en particulier les protocoles\u00a0SSL<\/del>\/TLS<\/a> connaissent \u00e0 juste raison une g\u00e9n\u00e9ralisation quelque soit le site web, service, application, etc.<\/p>\n

Dans cet article, je vais pr\u00e9senter une check-list<\/em> des bonnes pratiques lorsque l’on administre un serveur web s\u00e9curis\u00e9.<\/p>\n

Je ne d\u00e9taillerai pas toutes les diff\u00e9rentes techniques mises en oeuvre : d’innombrables sites ou blogs le font tr\u00e8s bien. Je\u00a0vais en revanche lister les point importants pour rendre le protocole TLS particuli\u00e8rement robuste. Ceci avec des exemples de configuration pour le serveur HTTP NGINX<\/a>.<\/p>\n

<\/p>\n

1. Maintenir \u00e0 jour la librairie TLS<\/strong><\/p>\n

On ne le r\u00e9p\u00e9tera jamais assez : la librairie TLS (par exemple\u00a0OpenSSL<\/a> ou mieux, LibreSSL<\/a>) doit absolument \u00eatre maintenue \u00e0 jour, en particulier apr\u00e8s chaque correctif de s\u00e9curit\u00e9.<\/p>\n

Bien \u00e9videmment, cela s’applique \u00e9galement au serveur HTTP et tout le syst\u00e8me d’exploitation en g\u00e9n\u00e9ral.<\/p>\n

2. D\u00e9sactiver SSL<\/strong><\/p>\n

Aujourd’hui il est plus que recommand\u00e9 de d\u00e9sactiver totalement SSL (jusqu’\u00e0 la v3). En particulier pour b\u00e9n\u00e9ficier de la confidentialit\u00e9 persistante (PFS)<\/a>. Ainsi, votre serveur web ne devrait r\u00e9pondre qu’aux protocoles TLS (1.0 et sup\u00e9rieur).<\/p>\n

Ceci aura pour effet de casser la compatibilit\u00e9 avec les navigateurs anciens. Notamment\u00a0Internet Explorer 6 sous Windows XP qui ne supporte pas TLS par d\u00e9faut (il peut \u00eatre param\u00e9tr\u00e9\u00a0pour supporter TLS 1.0, avec quelques algorithmes de faible robustesse, qui doivent absolument \u00eatre bannis de nos jours). Est-ce r\u00e9ellement un probl\u00e8me ?<\/p>\n

NGINX<\/strong> :\u00a0ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<\/code><\/span><\/p>\n

3. Suites de chiffrement fortes<\/strong><\/p>\n

Votre serveur web doit \u00eatre param\u00e9tr\u00e9 pour fonctionner avec des suites de chiffrement robustes. Il faut donc, dans la configuration du serveur web prohiber : RC4, MD5, DES, EXPORT (suites de chiffrement anciennes, autoris\u00e9es \u00e0 \u00eatre export\u00e9es des USA).<\/p>\n

De la m\u00eame fa\u00e7on que la d\u00e9sactivation de SSL, ce point cassera la compatibilit\u00e9 avec les navigateurs anciens.<\/p>\n

NGINX<\/strong> :<\/span>
\n ssl_ciphers HIGH:!aNULL:!MD5;
\nssl_prefer_server_ciphers on;<\/code><\/span><\/p>\n

4. G\u00e9n\u00e9rer ses propres param\u00e8tres DH<\/strong><\/p>\n

Avec l’utilisation de PFS et des certificats de 2048 bits, ceci permet de rendre plus robuste les \u00e9changes de cl\u00e9s Diffie Hellman, qui utiliseraient sinon les cl\u00e9s par d\u00e9faut d’OpenSSL d’une taille de 1024 bits.<\/p>\n

NGINX<\/strong> : ssl_dhparam \/etc\/ssl\/certs\/dhparam.pem;<\/code><\/span><\/p>\n

5. OCSP Stapling<\/strong><\/p>\n

OCSP<\/a> souffre de deux probl\u00e8mes :<\/p>\n