Category Archives: Web

HTTP/2 encore trop jeune ?

Je (re)précise d’abord que HTTP/2 n’est pas un remplacement de HTTP/1.1, mais une évolution qui s’intercale entre la couche réseau « transport » et le protocole HTTP/1.1 (couche réseau « application »).

Avant de se ruer sur HTTP/2, restons prudents. D’après Florian MAURY (MISC n°88 Nov/Déc 2016, « HTTP/2 : Attention peinture fraiche », p25, à lire pour comprendre, entre autre, les raisons de la création de HTTP/2), le protocole n’apporte pas d’amélioration importante côté performance, n’a pas été pensé pour augmenter la sécurité, et les implémentations partielles sur les serveurs augmentent les possibilités d’attaques. Sa conclusion fait réfléchir :

« […] Sans un besoin impérieux d’optimiser à l’extrême les performances de son application web, HTTP/2 semble parfaitement inutile et dangeureux. Si le besoin se présente, et que HTTP/2 est finalement activé, l’administrateur système doit prendre conscience de la quantité de code (et donc de bugs) qu’il active en même temps. »

Cette information a déjà 4 mois, en effet, mais je ne pense pas que la conclusion ait beaucoup évolué depuis.

Vérifier la configuration SSL de son serveur web

1) Avec « SSL Server Test » de Qualys SSL Labs.

Cet outil remonte en moins d’une minute les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • les cipher suites paramétrées sur le serveur web
  • les simulations de négociation de connexion avec de nombreux navigateurs
  • les fonctionnalités des protocoles disponibles et d’éventuelles failles (heartbleed…)

C’est pas trop mal de mon côté… (du moins le jour du test…)

2) Avec « Observatory » de Mozilla

Cet outil affiche les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • la liste des navigateurs compatibles les plus anciens
  • les informations de scans d’outils tiers

Mon score n’est pas trop mal non plus.

 

Pour aller plus loin et savoir comment configurer son serveur HTTPS de la meilleure des façons :

  • lire « TLS, état des lieux côté serveur » par Julien Vehent, dans MISC n°72 Mars/Avril 2014, p63,
  • s’appuyer sur la documentation « Server side TLS » de l’équipe sécurité de Mozilla proposant également des configurations types pour les serveurs web les plus connus

Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

J’en parlais ici, mais je n’avais pas encore pris le temps de parcourir les 10e de documentations existantes pour mettre en application la chose.

Je me suis finalement basé sur « Automatic certificates from Let’s Encrypt with Certbot and nginx » par Aleksander Skraastad, qui est une méthode simple et propre, que je retranscris/traduis partiellement ci-dessous, en apportant quelques petites précisions

En résumé, voilà les différentes étapes :

  • Installation via les backports
  • Préparer NGINX
  • Configurer les vhosts
  • Valider la configuration
  • Générer les certificats
  • Utiliser les certificats générés
  • Vérifier le fonctionnement des futures demandes de renouvellement
  • Renouvellement automatique

Et le détail…

Continue reading Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

Let’s Encrypt – Nouvelle autorité de certification gratuite, automatisée et ouverte

« Let’s Encrypt » est un service fourni par l’Internet Security Research Group (ISRG – Mozilla, Akamai, Université du Michigan, Ecole de Droit de Standford, Cisco, Electronic Frontier Foundation, CoreOS, OVH…).

Les principes clés de Let’s Encrypt sont :

  • Gratuité : n’importe quel possesseur de nom de domaine peut utiliser Let’s Encrypt pour obtenir un certificat de confiance à un prix nul
  • Automatisation : les logiciels fonctionnant sur un serveur web peuvent interagir avec Let’s Encrypt pour obtenir un certificat sans effort, le configurer de facon sécurisé pour son utilisation, et s’occuper automatiquement de son renouvellement
  • Securité : Let’s Encrypt sert de plateforme pour promouvoir les bonnes pratiques de sécurité de TLS, aussi bien du côté de l’autorité de certification (CA) qu’en aidant les opérateurs de site à sécuriser correctement leurs serveurs
  • Transparence : tout certificat délivré ou révoqué est enregistré publiquement et disponible à la consultation par tous
  • Ouverture : le protocole de délivrance et de révocation automatique est publié comme un standard ouvert
  • Coopération : de la même façon que les protocoles internet, Let’s Encrypt est un effort commun pour un bénéfice communautaire, au delà du contrôle de toute organisation.

Il existe plusieurs clients permettant d’automatiser plus ou moins les tâches d’installation/délivrance.

Linux Pratique n°94 Mars/Avril 2015 comporte 8 pages d’introduction par Christophe Brocas (p.30 « Let’s Encrypt : Le chiffrement gratuit, ouvert et automatisé sur Internet »)