Suivi — Administration site Avoir une meilleure configuration HTTPS

#1688 Posté par Nicolas Boulay (site web personnel) le 31 janvier 2017 à 10:34. État de l’entrée : corrigée. Assigné à Bruno Michel. Licence CC By‑SA.

Étiquettes : aucune

jan.

2017

Vu le nombre de failles autour de https, il existe maintenant des sites de vérification de conformité avec les meilleures manières de faire. linuxfr.org devrait se mettre à jour.

https://observatory.mozilla.org/analyze.html?host=linuxfr.org

# Yep

Posté par Bruno Michel (site web personnel) le 16 février 2017 à 16:23. Évalué à 3 (+0/-0).

Oui, on veut faire une mise à jour Debian pour avoir une version plus récente de nginx. Et on mettra ensuite à jour sa config pour avoir une meilleure gestion TLS.

[^] # Re: Yep

Posté par Bruno Michel (site web personnel) le 25 février 2019 à 21:33. Évalué à 3 (+0/-0).

On a maintenant un score de A sur https://tls.imirhil.fr/https/linuxfr.org

[^] # Re: Yep

Posté par Benoît Sibaud (site web personnel) le 26 février 2019 à 09:28. Évalué à 3 (+0/-0).

https://tls.imirhil.fr/https/linuxfr.org

Score A
Protocole   60 / 100   (pas content car encore du TLS 1.0 et 1.1 mais il est encore un peu tôt pour les enlever)
Échange de clef 100 / 100
Chiffrement     90 / 100 (pas content car Diffie Hellman : ECC 256 bits DH 2048 bits?)
Global  84.0 / 100

https://www.ssllabs.com/ssltest/analyze.html?d=linuxfr.org&latest

Score A
DNS CAA     No (de toute façon notre DNS via TuxFamily ne le permet pas)
Certificate 100 / 100
Protocol Support 95 / 100  (TLS 1.0 et 1.1)
Key Exchange 90 / 100
Cipher Strength 90 / 100

https://observatory.mozilla.org/analyze/linuxfr.org

HTTP Score D
Score:  30/100
Tests Passed:   7/11
HTTP: Pas de CSP, de HPKP (mouais), de HSTS, de Referrer Policy, de Subresource Integrity (SRI), de X-Content-Type-Options et de X-Frame-Options. Cookie non préfixé

TLS Score I
Pas de AEAD partout, et TLS 1.0 et 1.1

SSH Score D
Add these key exchange algorithms: curve25519-sha256@libssh.org
Add these encryption ciphers: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
Remove these encryption ciphers: aes128-cbc, aes192-cbc, aes256-cbc

htbridge.com

Grade A
Score:  110/100   (gni?)
Pas de OCSP STAPLING, TLS 1.0, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, pas de TLSv1.3, pas de HSTS, pas de HPKP

https://securityheaders.com/?followRedirects=on&hide=on&q=linuxfr.org

Score D
Manquantes Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy, Feature-Policy
Dupliquée X-Content-Type-Options

https://hstspreload.org/?domain=linuxfr.org (y a une typo sur le site de Mozilla Observatory avec un ? au lieu d'un = dans l'URL)

No HSTS header

# Autre demande similaire

Posté par Bruno Michel (site web personnel) le 03 avril 2018 à 17:07. Évalué à 3 (+0/-0).

Cf https://linuxfr.org/suivi/enlever-l-acces-sans-tls-rediriger-http-linuxfr-org-vers-https-linuxfr-org

Répondre
- [^] # Re: Autre demande similaire
  
  Posté par Benoît Sibaud (site web personnel) le 23 juin 2018 à 20:25. Évalué à 3 (+0/-0). Dernière modification le 23 juin 2018 à 20:26.
  
  Cette partie est faite.
  
  Une autre demande en rapport : https://linuxfr.org/suivi/content-security-policy
  
  Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# Yep

[^] # Re: Yep

[^] # Re: Yep

# Autre demande similaire

[^] # Re: Autre demande similaire