Cet article est en miroir par rapport à l’article sur Nginx : apprenons à avoir de bonnes notes avec Mozilla Observatory et SSLLabs.

On va bien sûr partir du site SSL Configuration Generator, la référence. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué.

A partir de là, on va ajouter les headers pour faire plaisir à Mozilla et les exigences de sécurité TLS pour faire plaisir à SSLLabs.

 

Comment être un bon élève chez Mozilla ?

 

Commençons par définir les paramètres SSL du virtualHost (/etc/apache2/sites-enabled/mon-site-en-tls.conf) :

 

Etre un bon élève n’est pas possible par défaut avec Apache, il faut d’abord activer le module headers pour jouer avec les en-têtes (comme le nom l’indique).

A partir de là, ajoutons les en-têtes qui protègent les visiteurs dans /etc/apache2/mods-enabled/headers.conf :

 

Après un redémarrage d’Apache, l’observatoire Mozilla doit être content de vous.

 

Comment être un bon élève chez SSLLabs ?

 

SSLLabs ne regarde pas les en-têtes HTTP mais plutôt comment vous avez implémenté le TLS.

Voici une solution simple de configuration de TLS à mettre dans /etc/apache2/mods-enabled/ssl.conf :

 

Et après un redémarrage, SSLLabs est lui-aussi content de vous.

 

Sur le même sujet :