La sécurité d’un serveur web/d’application repose sur plusieurs briques parmi lesquelles on trouve un certificat électronique (X.509 asymétrique dans la plupart des cas), un utilisateur averti, et une configuration serveur adaptée.
Ce dernier point est souvent négligé, par manque de temps, de connaissances/compétences ou parce que « oui mais pour mon blog, un truc moyen ca suffit ».
Bon, il y a quelques personnes chez Mozilla qui font partie des gens intelligents sur internet, et qui ont proposé un générateur de configuration SSL, disponible à cette adresse.
Dans l’idée, c’est assez simple. On sélectionne les briques de sa configuration (Type de serveur, version du serveur, version de SSL), le niveau de sécurité souhaité, et la configuration est automatiquement générée.
Un petite relecture pour vérification, un copier/coller dans la configuration du serveur ou du vhost, un coup de
service nom_du_service reload
et c’est parti ! 😆
Pour aller plus loin
Mozilla a également mis en ligne une documentation assez complète sur le sujet, couvrant à la fois le générateur et les bonnes pratiques en web-security.
D’autres ressources chez mozilla, Apache ou wikipedia (pour le HSTS) peuvent également être instructives sur le sujet de la web-security (quoi qu’un peu techniques !)… 😉
Enjoy !