Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:https_ssl [2016/12/30 12:15] – zatalyz
+++ fr:https_ssl [2022/02/26 12:04] – [Sur Nginx] zatalyz
@@ Ligne 124: / Ligne 124: @@
 Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait :
-1 1 2,4,6,8,10,12 * /root/letsencrypt/certbot-auto renew > /root/renewlets.log
+1 1 2,4,6,8,10,12 * /root/certbot/certbot-auto renew > /root/renewlets.log
+Le log vous permettra de vérifier s'il y a eu des soucis.
 </WRAP>
+==== Sur Nginx ====
+Nginx est un peu moins automatique.
+Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur :
+<code>sudo service nginx stop
+sudo certbot certonly --standalone -d monsite.mondomaine.org
+sudo service nginx start</code>
+Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré.
+Lors des renouvellements, éteindre à nouveau nginx (?) et renouveler avec la commande suivante :
+  sudo certbot renew
+===== Client Let's Encrypt ACMEd =====
+Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr:acmed|page dédiée]].
 ===== Améliorer et tester la sécurité du site via https =====
@@ Ligne 134: / Ligne 149: @@
   * https://www.ssllabs.com/ssltest/analyze.html : permet de voir les plus grosses erreurs
   * https://observatory.mozilla.org/ : Mozilla est plus exigeant et permet d'avoir un site bien sécurisé
+  * https://cryptcheck.fr/ qui est terriblement exigeant... attention, certains paramètres qui vous vaudront un F (parce que c'est vrai, c'est pas sécu) peuvent aussi empêcher certains de vos internautes de vous voir (parce qu'ils ont des vieux navigateurs pas à jour). Mais ces clients méritent-ils de voir votre site ?
-==== Améliorer la sécurité du certificat ====
 Let's encrypt est pas mal... mais pas parfait((En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.)). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps.
@@ Ligne 146: / Ligne 161: @@
   SSLDHParametersFile /etc/letsencrypt/live/MONSITE.COM/dhparams.pem
-==== SSL ====
+Voir aussi [[fr:securite_sysadmin#module_ssl|la configuration de SSL.]]
-Voir le fichier de configuration du module SSL d'apache ''/etc/apache2/mods-available/ssl.conf''. Virer le protocole SSL3 qui n'est plus considéré comme "sûr" depuis la démonstration de l'attaque PODDLEd
-  SSLProtocol all -SSLv2 -SSLv3
-( à noter le "-" devant SSLv3 )
-Interdire la compression d'échanges cryptés (oui oui cela introduit une possibilité d'attaque)
-  SSLCompression off
-Et finalement lister la liste des "algorithmes de crypto" autorisés :
-  SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
-<WRAP center round help 60%>
-À tester, nouvelle proposition :
-  ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC4:!3DES:!MD5:!PSK:+HIGH
-</WRAP>
-<WRAP center round tip 60%>
-Ancienne configuration, génère un A- au 11/02/2016. La nouvelle au dessus vient de [[https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm]].
-  SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
-</WRAP>
-Noter le "!" devant certains nom d'algorithme pour les interdire, par exemple : !PSK, !RC4, etc...
-Puis imposer de négocier les protocoles dans l'ordre ci-dessus : donc du plus sûr au moins sûr :
-  SSLHonorCipherOrder On
-Pensez à relancer l'Apache :
-  # /etc/init.d/apache2 restart
 {{tag>Serveur Web Tutoriel Brouillon}}