Serveur dédié : mettre à jour OpenSSL sous Debian pour bénéficier de TLS 1.3

Serveur dédié : mettre à jour OpenSSL sous Debian pour bénéficier de TLS 1.3 photo

Cet article fait suite à un précédent tutoriel - installer la dernière version d'OpenSSL sous Debian. Cela fait un petit moment que je voulais mettre à jour ma configuration TLS et je me suis dit que la Toussaint serait parfaite pour cela. Aujourd'hui, le serveur passe donc à TLS 1.3, ce qui nécessite une mise à jour d'OpenSSL et la mise à jour des ciphers sous NginX. Mise à jour d'OpenSSL Je n'avais pas mis OpenSSL à jour depuis le […]

Lire la suite »

Hébergement OVH : passer à TLS 1.2 pour WooCommerce et PayPal

Hébergement OVH : passer à TLS 1.2 pour WooCommerce et PayPal photo 1

Si vous possédez une boutique en ligne et que vous acceptez PayPal comme moyen de paiement, vous n'êtes pas sans savoir qu'à partir du 30 juin 2017, PayPal exigera une connexion TLS version 1.2 pour gérer la transaction entre votre boutique et PayPal. Concrètement, votre serveur ou votre hébergement doit être configuré pour servir les pages en https (certificat SSL obligatoire) et avec une version d'OpenSSL qui donne la priorité au protocole TLS version 1.2. Chez OVH, la version d'OpenSSL […]

Lire la suite »

Serveur dédié : mettre à jour Apache et configurer le mod_http2 pour HTTP/2

Serveur dédié : mettre à jour Apache et configurer le mod_h2 pour HTTP/2 photo

C'est sur toutes les lèvres : 2015 aura vu l'arrivée de PHP7 et de la révision du protocole HTTP qui passe à la version 2, en remplacement du mod_spdy de Google. Tout cela promet pas mal de gains de performance donc il est très tentant de le vérifier par nous-mêmes. HTTP/2 : une évolution du protocole HTTP Avec HTTP/1.1, la vie des développeurs n'était pas simple. L'optimisation d'un site revenait à plusieurs techniques qui tournaient toutes autour de l'idée de […]

Lire la suite »

Serveur dédié : mise en place du protocole DANE

Serveur dédié : mise en place du protocole DANE photo 2

Aujourd'hui, je vous montre comment mettre en place le protocole DANE sur votre serveur. En pré-requis, votre domaine doit: être servi en HTTPS avec un certificat TLS valide, être signé par DNSSEC. Cela prend environ 20 minutes à configurer, auxquelles s'ajouteront quelques heures afin que la résolution DNS avec les changements soit complète. DANE : l'authentification TLS sans autorité de certification DANE (DNS-based Authentication of Named Entities) est un protocole qui permet aux certificats X.509 - généralement utilisés pour TLS […]

Lire la suite »

Bash : lister et redémarrer tous les services qui utilisent libssl après une mise à jour d'OpenSSL

openssl-grey

Lorsque l'on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d'être mises à jour. Idéalement, il faudrait rebooter le système mais lorsqu'il s'agit d'un serveur, ce n'est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version. Voici donc […]

Lire la suite »

Serveur dédié : installer la dernière version d'OpenSSL sous Debian

openssl-grey

Aujourd'hui, on s'intéresse à la mise à jour d'OpenSSL sur un serveur Debian, en utilisant les dépôts sid. Cela va nous permettre d'installer la dernière mise à jour d'OpenSSL, responsable du chiffrement des connexions de plusieurs services (serveur de fichier, serveur mail, serveur DNS...), pour plus de sécurité sur le serveur. Ce tutoriel ne prend que quelques minutes et quatre étapes mais il faut bien le suivre jusqu'au bout. Vérification de la version d'OpenSSL On commence par vérifier la version […]

Lire la suite »

Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy

Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy photo

Aujourd'hui, on va s'atteler à sécuriser le serveur de mail, géré par Postfix et Courier, pour utiliser notre certificat SSL et en ajoutant le Perfect Forward Secrecy. Ce tutoriel part du principe que votre serveur tourne sous Debian et que vous avez suivi le tutoriel précédent sur Postfix avec gestion d'utilisateurs virtuels, c'est-à-dire que le serveur de mail doit déjà être opérationnel. Vérification du fonctionnement du serveur de mail On commence par vérifier que le serveur est capable d'envoyer des […]

Lire la suite »

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy photo 1

Cela fait quelques mois que j'en parle mais aujourd'hui je le fais, je passe le site en HTTPS - ou techniquement en HTTP avec la couche TLS. Après les révélations d'Edward Snowden et les multiples affaires concernant les écoutes et les fuites des données des citoyens, je pense qu'il est temps de reprendre un peu les choses en main et de nous intéresser au chiffrement de nos connexions. La réalisation de ce tutoriel prend moins de 30 minutes, il y […]

Lire la suite »

La faille Heartbleed dans OpenSSL : mettez à jour vos serveurs

heartbleed

Heartbleed Dans la nuit du lundi 7 au mardi 8 avril 2014, une équipe de chercheurs du Codenomicon et le chercheur Neel Mehta de Google Security ont découvert une faille dans la librairie open-source OpenSSL, utilisée pour gérer la couche SSL/TLS de nombreux logiciels (serveurs webs, webmails, VPN, messagerie instantanée...). La faille, baptisée Heartbleed, est une vulnérabilité sérieuse dans le protocole d'encryption OpenSSL, utilisé pour chiffrer et sécuriser les connexions. Potentiellement, cette faille permet de dérober des données normalement chiffrées […]

Lire la suite »

Pin It on Pinterest

Spelling error report

The following text will be sent to our editors: