Tutoriel de mise à jour du protocole  Transport Layer Security (TLS)

Tutoriel de mise à jour du protocole Transport Layer Security (TLS)

16 juin 2020 1 Par admin5817

Transport Layer Security (TLS), défini dans la [RFC 8446] (https://tools.ietf.org/html/rfc8446) assure la sécurité des communications. Les sites Web et les applications client / serveur utilisent TLS pour sécuriser les communications entre leurs serveurs et les navigateurs Web d’une manière conçue pour empêcher l’écoute, la falsification ou la falsification de messages. Lorsque vous vous connectez à une adresse Web commençant par « https: //», vous vous connectez à l’aide de TLS. Notez que certaines personnes se réfèrent toujours à TLS en utilisant un nom plus ancien, SSL (Secure Sockets Layer).
TLS est actuellement à la version 1.3. Les serveurs Web peuvent prendre en charge plusieurs versions, mais les versions 1.0 (de 1999) et 1.1 (de 2006) risquent de ne pas être suffisamment sécurisées. Pour protéger votre site Web contre les attaques possibles contre ces anciennes versions de TLS, les directives de sécurité informatique recommandent de désactiver TLS 1.0 et 1.1 sur votre serveur Web et ne prennent en charge que les versions TLS 1.2 et 1.3.

Serveur Apache


1. TLS – Auto-hébergé – Apache
                 1.1 Accédez au répertoire dans lequel vous avez installé Let’s Encrypt, généralement / etc / letsencrypt
                 1.2 Modifier options-ssl-apache.conf
                1.3  Recherchez la ligne SSLProtocol et définissez-la sur:
                   SSLProtocol all –SSLv2 –SSLv3 –TLSv1 –TLSv1.1
         1.4  Enregistrez le fichier et redémarrez apache.
2. TLS – Ordre de chiffrement – Auto-hébergé – Apache
          2.1   Accédez au répertoire dans lequel vous avez installé Let’s Encrypt, généralement / etc / letsencrypt
              2.2 Modifier options-ssl-apache.conf
               2.3  Recherchez la ligne SSLCipherSuite et définissez-la sur:
                     SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:                  ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305 :: ECDHE-ECDSA-AES256-SH AES256-SHA384
              2.4 Enregistrez le fichier et redémarrez apache.
3. ## Désactivez TLS 1.0 / 1.1 sur Apache:Pour désactiver, nous allons définir la direction `SSLProtocol` pour autoriser uniquement TLS1.2 et TLS1.3
             3. 1. Modifiez `ssl.conf` (devrait déjà avoir été activé lors de la configuration du serveur pour les connexions SSL)
              3.2. Recherchez la directive `SSLProtocol` et définissez-la comme suit:
            «  SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1  »
             3.4. Redémarrez Apache

Serveur NGINX
1. TLS – Auto-hébergé – NGINX
            1.1  Accédez au répertoire dans lequel vous avez installé Let’s Encrypt, généralement / etc /letsencrypt
           1.2 Modifier options-ssl-nginx.conf
           1.3 Recherchez la ligne ssl_protocols et définissez-la sur:
                           ssl_protocols TLSv1.2 TLSv1.3
             1.4 Enregistrez le fichier et redémarrez NGINX.
2. TLS – Ordre de chiffrement – Auto-hébergé – NGINX
         2.1   Accédez au répertoire dans lequel vous avez installé Let’s Encrypt, généralement / etc / letsencrypt
           2.2 Modifier options-ssl-nginx.conf
               2.3 Recherchez la ligne ssl_protocols et définissez-la sur:
                      ssl_protocols TLSv1.2 TLSv1.3
                 3.4 Enregistrez le fichier et redémarrez NGINX.
3. ## Désactivez TLS 1.0 / 1.1 sur NGINX:
 Pour désactiver, nous allons définir la directive `ssl_protocols` pour autoriser uniquement TLS1.2 et TLS1.3
         3.1. Modifiez `ssl-parms.conf`
** Remarque **: nous avons nos directives SSL configurées dans un fichier appelé ssl-parms.conf. Votre configuration peut différer, alors assurez-vous de modifier l’emplacement de lecture de votre configuration SSL.
              3.2. Recherchez la directive ssl_protocols et définissez-la comme suit:
«  `ssl_protocols TLSv1.2 TLSv1.3; «   »
               3.3. Redémarrez NGINX

Si vous utilisez un réseau de diffusion de contenu (CDN) pour  votre site Web, vous devrez configurer les versions TLS dans le CDN. Nous avons actuellement des instructions pour les CDN suivants:

## Désactivez TLS 1.0 / 1.1 sur Cloudflare:1. Connectez-vous à votre compte Cloudflare
2. Cliquez sur l’icône SSL / TLS
3. Cliquez sur Certificats Edge
4. Faites défiler jusqu’à la section Version TLS minimale
5. Sélectionnez TLS 1.2 (cela définira automatiquement la version TLS sur 1.2 ou supérieur.)
## Désactiver TLS 1.0 / 1.1 sur Akamai:

1. Connectez-vous à votre compte Akamai
2. Accédez à la section CDN / Certificats
3. Sous Actions, sélectionnez Afficher et modifier les paramètres de déploiement
4. Cliquez sur Modifier dans la section Configuration réseau avancée
5. Sélection Désactivez des versions TLS spécifiques et vérifiez TLS 1.0 et TLS 1.1
6. Cliquez sur Soumettre et attendez que le déploiement de la configuration soit terminé

Auteur: Zakaria SAWADOGO, zakaria.sawado@gmail.com et Seydou CONSEIBO