Sécurisation des serveurs web SSL

J'ai récemment découvert le site SSL Labs de Qualys et particulièrement leur service de test de qualité d'un serveur web. C'est ici https://www.ssllabs.com/ssltest/index.html

Et bien sûr… ma note était pourrie !

Alors j'ai commencé à creuser un peu pour voir ce qui manquait pour atteindre la “A” tant espéré. Voilà le résultat de mes recherches (pour un IIS).

  • Activation de SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2 Pour obtenir la note maximale, TLS 1.2 est nécessaire.
  • Désactivation du message d'accueil SSL2 compatible SSL3 C'est une spécificité de IIS qui ne se désactive pas automatiquement quand le protocole SSL2 est désactivé.
  • Désactivation cd PCT 1.0 et SSL 2.0
  • Désactivation des protocoles de chiffrement faibles C'est à dire : NULL,RC2 40/128,RC2 56/128,RC2 128/128,RC4 40/128,RC4 56/128,RC4 64/128,DES 56/56
  • Activation des protocoles de chiffrement forts C'est à dire : RC4 128/128,Triple DES 168/168,AES 128/128,AES 256/256
  • Activation des protocoles de hashage
  • Activation des protocoles d'échange de clés : PKCS et Diffie-Hellman
  • Configuration de l'ordre d'utilisation des algorithmes de chiffrement pour permettre d'activer le Perfect Forward Secrecy

Quelques sources et lectures intéressantes :