Suite à l’actualité Apple n’a activé le HTTPS pour l’App Store d’iOS que récemment sur PC Inpact, ayant rebondi vers Ars Technica sur l’implémentation même de HTTPS, j’ai découvert Qualys SSL Labs.

Afin d’en avoir le coeur net, j’ai testé mon espace privé sécurisé avec https. Le résultat ne s’est pas attendre, hormis le problème d’utiliser un certificat auto-signé, quelques failles.

Mon serveur est basé sur Debian Squeeze et malheureusement les paquets openssl et nginx sont trop anciens ( 0.9.8o & 0.7.67 ). Après un passage de ces derniers à Wheezy ( 1.0.1e & 1.2.1 ), les quelques options de configuration nécessaires sont maintenant supportées.

Voici le fichier de configuration de nginx :

server {
    listen   443 ssl default_server; ## listen for ipv4

    server_name  monsite;

    ssl on;
    ssl_certificate      /var/ssl/server.pem;
    ssl_certificate_key  /var/ssl/server.pem;

    # to protect against BEAST Attack
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         AES:HIGH:RC4:HIGH:!aNULL:!MD5:!CAMELLIA:!SSLv2:!3DES;
    ssl_prefer_server_ciphers on;

    # should allow session resumption
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  10m;

    # forward all request to apache
    location / {
        ...
    }
}

Articles intéressants :