Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

iissecuritytls [2016/07/21 17:50] (Version actuelle)
frag créée
Ligne 1: Ligne 1:
 +====== Sécurisation des serveurs web SSL ======
 +
 +J'ai récemment découvert le site SSL Labs de Qualys et particulièrement leur service de test de qualité d'un serveur web. 
 +C'est ici [[https://​www.ssllabs.com/​ssltest/​index.html]]
 +
 +Et bien sûr... ma note était pourrie !
 +
 +Alors j'ai commencé à creuser un peu pour voir ce qui manquait pour atteindre la "​A"​ tant espéré. Voilà le résultat de mes recherches (pour un IIS).
 +
 +  * Activation de SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2 Pour obtenir la note maximale, TLS 1.2 est nécessaire.
 +  * Désactivation du message d'​accueil SSL2 compatible SSL3 C'est une spécificité de IIS qui ne se désactive pas automatiquement quand le protocole SSL2 est désactivé.
 +  * Désactivation cd PCT 1.0 et SSL 2.0
 +  * Désactivation des protocoles de chiffrement faibles C'est à dire : NULL,RC2 40/128,RC2 56/128,RC2 128/128,RC4 40/128,RC4 56/128,RC4 64/128,DES 56/56
 +  * Activation des protocoles de chiffrement forts C'est à dire : RC4 128/​128,​Triple DES 168/168,AES 128/128,AES 256/256
 +  * Activation des protocoles de hashage
 +  * Activation des protocoles d'​échange de clés : PKCS et Diffie-Hellman
 +  * Configuration de l'​ordre d'​utilisation des algorithmes de chiffrement pour permettre d'​activer le Perfect Forward Secrecy
 +
 +Quelques sources et lectures intéressantes : 
 +  * [[http://​support.microsoft.com/​kb/​245030/​en-us|Comment contrôler l'​utilisation des algorithmes cryptographiques dans schannel.dll]]
 +  * [[http://​www.hass.de/​content/​setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12|Activer TLS 1.2 et Perfect Forward Secrecy dans IIS]]
 +  * [[http://​www.sslshopper.com/​article-how-to-disable-ssl-2.0-in-iis-7.html|Désactiver SSL 2.0 dans IIS]]
 +  * [[https://​community.qualys.com/​blogs/​securitylabs/​2013/​06/​25/​ssl-labs-deploying-forward-secrecy|Déployer Forward Secrecy]]
 +  * [[https://​support.globalsign.com/​customer/​portal/​articles/​1499561-sha-256-compatibility|Tableau de compatibilité avec SHA2]]
 +  * [[https://​community.qualys.com/​blogs/​securitylabs/​2014/​09/​09/​sha1-deprecation-what-you-need-to-know|La dépréciation de SHA1]]