Chronique de l'Admin-Sys - 4 : Let's Encrypt à froid

Bonjour tout le monde, j'avais déjà fait un article sur let's encrypt que je vous laisse allez lire si c’est pas déjà fait, ou relire si vous le souhaitez.

Littérature Let's Encrypt et SSL.

Correction du tir sur la configuration par défaut de let's encrypt

Comme vous pourrez le voir dans le premier lien de littérature, la longueur de la clé de chiffrement est un peu short par défaut. Il est donc conseillé de l’augmenter.
Ajoutez --rsa-key-size 4096 aux paramètres de lancement de letsencrypt-auto ce sera mieux.

PS : J’ai essayé de monter à 8192, mais ça passe pas, ça fait trop pour letsencrypt… dommage.

Toujours plus de sécurité

La config nginx fournie dans ma première chronique était un peu légère niveau sécurité, j’ai revu à la hausse ce qui nous vaut un A+ sur ssllabs.com (dont je suis fière) sur nos différents sites web.

# SSL Conf
listen 443 ssl http2;  
listen [::]:443 ssl http2;

ssl_certificate         /etc/letsencrypt/live/domaine1.tld/fullchain.pem;  
ssl_certificate_key     /etc/letsencrypt/live/domaine1.tld/privkey.pem;  
ssl_client_certificate  /etc/letsencrypt/live/domaine1.tld/cert.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
ssl_ciphers EECDH+AES:+AES128:+AES256:+SHA;  
ssl_prefer_server_ciphers   on;  
ssl_ecdh_curve secp384r1;

add_header Strict-Transport-Security "max-age=31536000";  

Les trois gros changements ici sont :

  • La "ciphers suite" (ssl_ciphers) qui est vraiment orientée sécurité totale : pas d'algo de chiffrement avec des trous partout utilisés donc.
  • HSTS (Strict-Transport-Security) qui permet de dire au client qu’il peut utiliser https pour une durée de temps limitée
  • Ajout de http2 pour utiliser le protocole HTTP/2 au lieu de HTTP/1.1, uniquement possible si vous utilisez nginx >= 1.9.5 (mais optionnel)

Nota Bene

La SSL Compression est complétement trouée, il faut donc ne pas l'utiliser. Sur nginx elle est désactivée par défaut, si vous utilisez un autre serveur web, assurez vous de désactiver cette option.

Purexo

Developpeur et AdminSys sur Antarka

IN DA FACKIN KLOOD https://purexo.eu/