Base documentaire GNU/Linux et développement

Fiches techniques pour la configuration de machines GNU/Linux, de réseau et de développement logiciel

Outils pour utilisateurs

Outils du site


administration-systemes:mod_ssl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
administration-systemes:mod_ssl [2019/01/27 17:00]
Guillaume Bernard [Tester sa configuration]
administration-systemes:mod_ssl [2019/04/05 12:12] (Version actuelle)
Guillaume Bernard [Configuration du module]
Ligne 18: Ligne 18:
   * dire que c’est le serveur qui choisit les algorithmes de chiffrement selon sa préférence,​ ce qui limite les attaques consistant à indiquer volontairement des algorithmes faibles : directive [[https://​httpd.apache.org/​docs/​2.4/​fr/​mod/​mod_ssl.html#​sslhonorcipherorder|SSLHonorCipher]] ;​   * dire que c’est le serveur qui choisit les algorithmes de chiffrement selon sa préférence,​ ce qui limite les attaques consistant à indiquer volontairement des algorithmes faibles : directive [[https://​httpd.apache.org/​docs/​2.4/​fr/​mod/​mod_ssl.html#​sslhonorcipherorder|SSLHonorCipher]] ;​
   * indiquer les algorithmes de chiffrement que l’on désire utiliser : directive [[https://​httpd.apache.org/​docs/​2.4/​fr/​mod/​mod_ssl.html#​sslciphersuite|SSLCipherSuite]].   * indiquer les algorithmes de chiffrement que l’on désire utiliser : directive [[https://​httpd.apache.org/​docs/​2.4/​fr/​mod/​mod_ssl.html#​sslciphersuite|SSLCipherSuite]].
-  * on va forcer l’activation du [[https://​tools.ietf.org/​html/​rfc6797|HSTS,​ de la RFC 6797]] en ajoutant un en-tête « Strict-Transport Security ». 
  
 <​code>​ <​code>​
-SSLProtocol TLSv1.2 +<​IfModule mod_ssl.c>​ 
-SSLHonorCipherOrder on +    ​SSLProtocol TLSv1.2 
-SSLCipherSuite "​EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EDH !EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !LOW !MEDIUM"​+    SSLHonorCipherOrder on 
 +    SSLCipherSuite "​EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EDH !EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !LOW !MEDIUM"​ 
 +</​IfModule>​ 
 +</​code>​
  
-Header always ​add Strict-Transport-Security "​max-age=15768000; includeSubDomains;"​+===== Configuration du HSTS ===== 
 + 
 +Pour forcer l’utilisation des connexion HTTPS, on peut indiquer via une en-tête au navigateur de n’accepter que des connexion HTTPS pendant une certaine durée. On va forcer l’activation du [[https://​tools.ietf.org/​html/​rfc6797|HSTS,​ de la RFC 6797]] en ajoutant un en-tête « Strict-Transport Security ». Cet ajout peut être placé dans un fichier **hsts.conf**. 
 +<​code>​ 
 +<​IfModule mod_headers.c>​ 
 +    <​IfModule mod_ssl.c>​ 
 +        ​Header always ​set Strict-Transport-Security "​max-age=15552001; includeSubDomains;"​ 
 +    </​IfModule>​ 
 +</​IfModule>​
 </​code>​ </​code>​
 +
 +
  
 ====== Tester sa configuration ====== ====== Tester sa configuration ======
administration-systemes/mod_ssl.txt · Dernière modification: 2019/04/05 12:12 par Guillaume Bernard