logo

blog

Unnamed repository; edit this file 'description' to name the repository.
commit 240051656f165f2ef64c74fd913d2fe2f373c61e
parent 13b46fbf384f24eaac1f28104b93ceba97e5de4f
Author: Haelwenn (lanodan) Monnier <contact@hacktivis.me>
Date:   Thu, 16 Feb 2017 15:25:16 +0100

antisèche-nginx: Eliptic Curves + cipher suite + minimum cert bits

Diffstat:
antisèche-nginx.shtml | 5+++--
1 file changed, 3 insertions(+), 2 deletions(-)

diff --git a/antisèche-nginx.shtml b/antisèche-nginx.shtml @@ -33,13 +33,14 @@ server { error_page 403 /assemblee.html; # Pas la meilleure solution, une redirection serait mieux, mais je sais pas comment faire ça propre ssl_certificate ssl/hacktivis.me.pem; # Ne pas oublier de rajouter la chaine de certificat/le CA après le votre - ssl_certificate_key ssl/hacktivis.me.key; # Mettre au moins une clé RSA de 2048 + ssl_certificate_key ssl/hacktivis.me.key; # pour RSA mettre du 3072 bits minimum # Merci <a href="https://blog.imirhil.fr/cryptcheck-verifiez-vos-implementations-de-tls.html">aeris</a> ;3 - ssl_ciphers 'EECDH+AES:+AES128:+AES256:+SHA'; + ssl_ciphers 'EECDH+CHACHA20:EECDH+AESGCM:DHE+CHACHA20:DHE+AESGCM'; # or EECDH+CHACHA20:EECDH+AES:DHE+CHACHA20:DHE+AES:+SHA ssl_prefer_server_ciphers on; # Parceque les clients on une config TLS toute pouritte ssl_protocols +TLSv1.2 -TLSv1.1 -TLSv1 -SSLv3 -SSLv2; # POODLE sur ≤TLS1.1 ssl_dhparam ssl/dhparam.pem; # “openssl dhparam -out dhparam.pem 2048” (4096 est <strong>très</strong> long) + ssl_dhparam secp384r1:secp521r1; # if("failed: unknown curve"): ssl_dhparam secp384r1; add_header <a href="https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security">Strict-Transport-Security</a> 'max-age=15768000;includeSubDomains'; # Garder l’https pendant 6 mois et inclure les sous-domaines add_header <a href="https://fr.wikipedia.org/wiki/HTTP_Public_Key_Pinning">Public-Key-Pins</a> 'pin-sha256="vOs/I6cJeaMzFkoEpscUvF/ahXvr7Cn4gDT7xTfhz+I="; max-age=5184000; includeSubDomains; report-uri="https://example.tld/report"'; # Garder en mémoire la signature de la clé publique pendant 60 jours et inclure les sous-domaines et rapport d’erreurs à https://example.tld/report }</code></pre>