Suite à l’actualité Apple n’a activé le HTTPS pour l’App Store d’iOS que récemment sur PC Inpact, ayant rebondi vers Ars Technica sur l’implémentation même de HTTPS, j’ai découvert Qualys SSL Labs.
Afin d’en avoir le coeur net, j’ai testé mon espace privé sécurisé avec https. Le résultat ne s’est pas attendre, hormis le problème d’utiliser un certificat auto-signé, quelques failles.
Mon serveur est basé sur Debian Squeeze et malheureusement les paquets openssl et nginx sont trop anciens ( 0.9.8o & 0.7.67 ). Après un passage de ces derniers à Wheezy ( 1.0.1e & 1.2.1 ), les quelques options de configuration nécessaires sont maintenant supportées.
Voici le fichier de configuration de nginx :
server {
listen 443 ssl default_server; ## listen for ipv4
server_name monsite;
ssl on;
ssl_certificate /var/ssl/server.pem;
ssl_certificate_key /var/ssl/server.pem;
# to protect against BEAST Attack
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AES:HIGH:RC4:HIGH:!aNULL:!MD5:!CAMELLIA:!SSLv2:!3DES;
ssl_prefer_server_ciphers on;
# should allow session resumption
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# forward all request to apache
location / {
...
}
}
Articles intéressants :