Guide pour Sécuriser une Publication en Ligne avec HTTPS
La sécurité des sites web via HTTPS est cruciale, surtout après les failles majeures découvertes en 2014 comme POODLE et Heartbleed. Voici un guide pratique pour sécuriser votre publication en ligne, en utilisant le protocole HTTPS avec SSL/TLS.
Étape 1 : Vérifier les Failles de Votre Site Internet
Avant d'apporter des corrections, il est essentiel de connaître l'état actuel de votre site. Utilisez l'outil de scan SSL de Qualys pour vérifier les vulnérabilités :
- Outil de Scan SSL : Qualys SSL Labs SSL Test
- Ce que vous trouverez : Informations sur les certificats, les ciphers supportés, et les failles exploitables.
- Notation : Le test attribue une note de A à F, selon la sécurité de votre site.
- Astuce : Si vous obtenez une note de F, cochez « Do not show the results on the boards » pour éviter la publication publique des résultats.
Étape 2 : Combler les Failles Identifiées
Cette étape se divise en quatre points principaux :
1. Certificat
- Vérification : Assurez-vous que votre certificat utilise un algorithme de signature sécurisé. Les certificats SHA1 ne sont plus recommandés. Utilisez SHA256 ou supérieur.
2. Protocoles Supportés
Pour éviter des failles comme POODLE :
- Désactivation des Protocoles Obsolètes : Désactivez SSLv2 et SSLv3. Voici comment procéder selon votre serveur web :
- Serveur IIS :
- Modifiez le registre pour désactiver SSLv2 et SSLv3.
- Consultez ce guide pour IIS.
- Serveur Apache :
- Éditez le fichier
/etc/apache2/mods-available/ssl.conf
. - Modifiez la ligne
SSLProtocol
comme suit :plaintextCopier le code<code>SSLProtocol all -SSLv2 -SSLv3 </code>
- Configurez les ciphers avec :
plaintextCopier le code<code>SSLCipherSuite AES256+EECDH:AES256+EDH:HIGH:!LOW:!MEDIUM:!aNULL:!MD5:!RC4 SSLHonorCipherOrder on </code>
- Redémarrez Apache.
- Éditez le fichier
- Serveur Lighttpd :
- Éditez le fichier de configuration avec les paramètres suivants :
plaintextCopier le code<code>ssl.honor-cipher-order = "enable" ssl.cipher-list = "AES256+EECDH:AES256+EDH:HIGH" ssl.use-compression = "disable" ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable" </code>
- Éditez le fichier de configuration avec les paramètres suivants :
- Serveur Nginx :
- Modifiez le fichier de configuration avec :
plaintextCopier le code<code>ssl_ciphers "AES256+EECDH:AES256+EDH:HIGH"; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; </code>
- Modifiez le fichier de configuration avec :
- Serveur IIS :
3. Échange de Clés
- Gestion des Ciphers : Assurez-vous que votre serveur supporte uniquement des suites de chiffrement sécurisées et modernes. Évitez les suites faibles et privilégiez celles offrant une authentification et un chiffrement de 128 bits ou plus.
4. Force de Chiffrement (Cipher Strength)
- Configuration des Ciphers : Utilisez des suites de chiffrement robustes comme AES256. Voici un exemple de configuration pour les serveurs web :
- Apache :
plaintextCopier le code<code>SSLCipherSuite AES256+EECDH:AES256+EDH:HIGH:!LOW:!MEDIUM:!aNULL:!MD5:!RC4 SSLHonorCipherOrder on </code>
- Nginx :
plaintextCopier le code<code>ssl_ciphers "AES256+EECDH:AES256+EDH:HIGH"; ssl_prefer_server_ciphers on; </code>
- Apache :
Conseils Supplémentaires
- Forward Secrecy : Configurez votre serveur pour utiliser Forward Secrecy, une fonctionnalité qui améliore la sécurité en générant des clés de session uniques pour chaque connexion.
- Mise à Jour des Logiciels : Assurez-vous que votre serveur web, votre logiciel SSL/TLS et vos bibliothèques sont toujours à jour pour bénéficier des derniers correctifs de sécurité.
- Monitorage Régulier : Effectuez des scans SSL réguliers pour détecter toute nouvelle vulnérabilité et ajuster votre configuration en conséquence.
En appliquant ces étapes, vous assurerez la protection de votre site web contre les failles de sécurité connues et garantirez une communication sécurisée via HTTPS. Pour une protection maximale, restez informé des nouvelles vulnérabilités et mettez régulièrement à jour vos configurations de sécurité.
Bonne année 2015 et meilleure sécurité pour votre site web !