Renforcement des services SSL sur votre serveur Web (Apache/Linux) : 3 étapes

2024 Auteur: John Day | [email protected]. Dernière modifié: 2024-01-30 09:09

Il s'agit d'un très court didacticiel traitant d'un aspect de la cyber-sécurité - la force du service SSL sur votre serveur Web. L'arrière-plan est que les services SSL sur votre site Web sont utilisés pour garantir que personne ne peut pirater les données qui sont transmises vers et depuis votre site Web. Il y a eu des attaques très médiatisées sur des services SSL vulnérables tels que le bogue Heartbleed dans OpenSSL et le bogue Poodle qui exploitaient les vulnérabilités SSL 3.0. (Ce domaine est une cible mouvante, vous devez donc intégrer les tests SSL dans votre cycle ISO 27001 plan-do-check-act (PDCA).)

Lorsque SSL est installé sur votre site Web à l'aide d'un certificat d'un fournisseur reconnu, vous verrez que votre site Web est accessible à partir de https://votredomaine.com. Cela signifie que les données sont transmises dans les deux sens dans un format crypté. En revanche, https://votredomaine.com ou un cryptage faible expose les données transmises en texte clair, ce qui signifie que même un pirate informatique peut accéder à vos données de mot de passe, etc. à l'aide d'outils facilement disponibles tels que Wireshark.

Pour le reste de ce tutoriel, je suppose que vous utiliserez Apache comme serveur Web sous Linux et que vous avez accès à votre serveur Web via un émulateur de terminal tel que putty. Pour plus de simplicité, je vais également supposer que votre FAI a fourni votre certificat SSL et que vous avez la possibilité de reconfigurer certains aspects de celui-ci.

Étape 1: Tester la puissance de votre service SSL

Allez simplement sur https://www.ssllabs.com/ssltest/ et entrez votre nom de domaine à côté de la case Nom d'hôte et cochez la case "Ne pas afficher les résultats sur les tableaux" et cliquez sur le bouton Soumettre. (Veuillez noter que vous ne devez tester aucun domaine sans autorisation préalable et que vous ne devez jamais afficher les résultats sur les tableaux.)

Une fois les tests exécutés, une note de F à A+ vous sera attribuée. Vous recevrez des résultats de test détaillés qui, espérons-le, vous montreront clairement pourquoi vous avez reçu la note qui vous a été attribuée.

Les raisons habituelles d'échec sont que vous utilisez des composants obsolètes tels que des chiffrements ou des protocoles. Je me concentrerai bientôt sur les chiffrements, mais d'abord un petit mot sur les protocoles cryptographiques.

Les protocoles cryptographiques assurent la sécurité des communications sur un réseau informatique. … La connexion est privée (ou sécurisée) car la cryptographie symétrique est utilisée pour crypter les données transmises. Les deux principaux protocoles sont TLS et SSL. Ce dernier est interdit d'utilisation et à son tour, TLS évolue et donc au moment où j'écris ceci, la dernière version est la 1.3, bien qu'au format brouillon. Concrètement, en janvier 2018, vous ne devriez avoir que TLS v 1.2. activée. Il y aura probablement un passage à TLV v 1.3. en 2018. Le test Qualys répertoriera les protocoles cryptographiques que vous avez appliqués et actuellement, si vous utilisez ci-dessous TLS v 1.2., vous recevrez un mauvais score.

Une dernière chose à dire sur les protocoles cryptographiques, lorsque vous achetez un package Web et un certificat SSL auprès d'un FAI traditionnel tel que GoDaddy, ce sera TLS v 1.2. ce qui est bien, mais plus tard, vous aurez peut-être du mal à mettre à niveau pour dire TLS v 1.3. Personnellement, j'installe mes propres certificats SSL et je suis donc maître de mon destin, pour ainsi dire.

Étape 2: Reconfiguration d'Apache pour apporter des modifications SSL

L'un des domaines importants testés dans le test Qualys SSL et l'objet de cette section sont les suites de chiffrement qui déterminent la force de cryptage de vos données transmises. Voici un exemple de sortie d'un test SSL Qualys sur l'un de mes domaines.

Cipher Suites # TLS 1.2 (suites pour serveur préféré) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (éq. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (éq. 3072 bits RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (éq. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (éq. 3072 bits RSA) FS128

Vous pouvez passer beaucoup de temps à reconfigurer votre configuration Apache pour supprimer les lignes rouges (échecs) de votre rapport de test Qualys, mais je recommande l'approche suivante pour obtenir les meilleurs paramètres de Cipher Suite.

1) Visitez le site Web d'Apache et obtenez leurs recommandations pour une suite de chiffrement à utiliser. Au moment de la rédaction, j'ai suivi ce lien -

2) Ajoutez le paramètre recommandé à votre fichier de configuration Apache et redémarrez Apache. C'était leur réglage recommandé que j'ai utilisé.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-ECHED-SA -AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Notes - L'un des défis est de trouver le fichier dont vous avez besoin pour modifier votre directive SSLCipherSuite. Pour ce faire, connectez-vous à Putty et connectez-vous au répertoire etc (sudo cd /etc) Recherchez un répertoire apache tel que apache2 ou http. Ensuite, effectuez une recherche sur le répertoire apache comme suit: grep -r "SSLCipherSuite" /etc/apache2 - Cela vous donnera une sortie similaire à celle-ci:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!DES/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH:!aNULL: !MD5:!RC4:!DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

La chose importante à noter est le fichier /etc/apache2/mods-available/ssl.conf ou tout ce qui vous appartient. Ouvrez le fichier à l'aide d'un éditeur tel que nano et accédez à la section # SSL Cipher Suite:. Remplacez ensuite l'entrée existante dans la directive SSLCipherSuite par celle ci-dessus à partir du site Web d'Apache. N'oubliez pas de commenter les anciennes directives SSLCipherSuite et de redémarrer Apache - dans mon cas, je l'ai fait en tapant sudo /etc/init.d/apache2 restart

Notez que parfois, vous devrez peut-être supprimer des chiffrements spécifiques qui vous donnent un faible score de test SSL Qualys (par exemple parce que de nouvelles vulnérabilités ont été découvertes) même si vous avez utilisé les paramètres Apache recommandés. Un exemple est si la ligne suivante apparaît en rouge (échec) sur votre rapport Qualys TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) La première étape consiste à trouver quel code vous devez modifier dans votre directive Apache SSLCipherSuite. Pour trouver le code, allez sur https://www.openssl.org/docs/man1.0.2/apps/ciphers… - cela montre le code comme suit: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Prenez ECDHE-RSA-AES256-GCM-SHA384 et supprimez-le de l'entrée que vous avez ajoutée en tant que directive Apache Apache SSLCipherSuite, puis ajoutez-le à la fin en le faisant précéder de:!

Encore une fois, redémarrez Apache et retestez

Étape 3: Conclusion

J'ai que vous avez appris quelque chose sur les tests SSL. Il y a beaucoup plus à apprendre à ce sujet, mais j'espère que je vous ai orienté dans la bonne direction. Dans mes prochains tutoriels, je couvrirai d'autres domaines de la cybersécurité, alors restez à l'écoute.