Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:https_ssl [2016/12/30 12:15] – zatalyz | fr:https_ssl [2021/12/30 15:05] – [Sur Nginx] rhaaa coquille zatalyz | ||
---|---|---|---|
Ligne 124: | Ligne 124: | ||
Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : | Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : | ||
- | 1 1 1 2, | + | 1 1 1 2, |
+ | Le log vous permettra de vérifier s'il y a eu des soucis. | ||
</ | </ | ||
+ | ==== Sur Nginx ==== | ||
+ | Nginx est un peu moins automatique. | ||
+ | |||
+ | Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur : | ||
+ | < | ||
+ | sudo certbot certonly --standalone -d monsite.mondomaine.org | ||
+ | sudo service nginx start</ | ||
+ | |||
+ | Voir [[fr: | ||
+ | ===== Client Let's Encrypt ACMEd ===== | ||
+ | Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr: | ||
===== Améliorer et tester la sécurité du site via https ===== | ===== Améliorer et tester la sécurité du site via https ===== | ||
Ligne 134: | Ligne 145: | ||
* https:// | * https:// | ||
* https:// | * https:// | ||
+ | * https:// | ||
- | ==== Améliorer la sécurité du certificat ==== | ||
Let's encrypt est pas mal... mais pas parfait((En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.)). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps. | Let's encrypt est pas mal... mais pas parfait((En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.)). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps. | ||
Ligne 146: | Ligne 157: | ||
SSLDHParametersFile / | SSLDHParametersFile / | ||
- | ==== SSL ==== | + | Voir aussi [[fr: |
- | + | ||
- | Voir le fichier de configuration du module SSL d' | + | |
- | + | ||
- | SSLProtocol all -SSLv2 -SSLv3 | + | |
- | ( à noter le " | + | |
- | + | ||
- | Interdire la compression d' | + | |
- | SSLCompression off | + | |
- | + | ||
- | Et finalement lister la liste des " | + | |
- | SSLCipherSuite " | + | |
- | + | ||
- | <WRAP center round help 60%> | + | |
- | À tester, nouvelle proposition : | + | |
- | ALL: | + | |
- | </ | + | |
- | + | ||
- | + | ||
- | <WRAP center round tip 60%> | + | |
- | Ancienne | + | |
- | SSLCipherSuite ' | + | |
- | </ | + | |
- | + | ||
- | + | ||
- | Noter le " | + | |
- | + | ||
- | Puis imposer de négocier les protocoles dans l' | + | |
- | SSLHonorCipherOrder On | + | |
- | + | ||
- | Pensez à relancer l' | + | |
- | # / | + | |
{{tag> | {{tag> |