La fondation Mozilla a beaucoup travaillé ces derniers temps sur l’amélioration de la sécurité du Web.

Pour les sysadmins, le site SSL Configuration Generator est génial car il vous permet d’obtenir une configuration sécurisée de votre serveur Web. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué.

Sauf que ce n’est pas encore suffisant pour protéger les utilisateurs des principales failles Web comme XSS, par exemple.

Pour le voir, il suffit de faire un tour sur l’observatoire Mozilla pour reçevoir une (très) mauvaise note.

Mais comme toutes vos erreurs sont expliquées, vous allez pouvoir revoir votre copie avant le prochain examen.

 

Comment être un bon élève chez Mozilla ?

 

Pour être un bon élève, vous allez devoir jouer avec les en-têtes HTTP (à ajouter dans votre site /etc/nginx/sites-enabled/monsite).

 

Après un redémarrage de Nginx, l’observatoire Mozilla doit être content de vous.

 

Comment être un bon élève chez SSLLabs ?

 

SSLLabs ne regarde pas les en-têtes HTTP mais plutôt comment vous avez implémenté le TLS.

Voici une solution simple de configuration de TLS :

 

Le fichier DHParams se génère comme ça :

openssl dhparam -out /etc/letsencrypt/dhparams.pem 4096

 

Et après un redémarrage, SSLLabs est lui-aussi content de vous.

 

Sur le même sujet :