logo

blog

My little blog can’t be this cute! git clone https://hacktivis.me/git/blog.git
commit: fd263ac1eb9157a0a060df16e3bddd8fb07a68ed
parent 2af9d497a972e2fe82d73c244edad2fdfacb48ff
Author: Haelwenn (lanodan) Monnier <contact@hacktivis.me>
Date:   Thu, 16 Feb 2017 15:25:16 +0100

antisèche-nginx: Eliptic Curves + cipher suite + minimum cert bits


Diffstat:


Mantisèche-nginx.shtml5+++--


1 file changed, 3 insertions(+), 2 deletions(-)

diff --git a/antisèche-nginx.shtml b/antisèche-nginx.shtml
@@ -33,13 +33,14 @@ server {
 	error_page 403 /assemblee.html; # Pas la meilleure solution, une redirection serait mieux, mais je sais pas comment faire ça propre
 
 	ssl_certificate     ssl/hacktivis.me.pem; # Ne pas oublier de rajouter la chaine de certificat/le CA après le votre
-	ssl_certificate_key ssl/hacktivis.me.key; # Mettre au moins une clé RSA de 2048
+	ssl_certificate_key ssl/hacktivis.me.key; # pour RSA mettre du 3072 bits minimum
 
 	# Merci <a href="https://blog.imirhil.fr/cryptcheck-verifiez-vos-implementations-de-tls.html">aeris</a> ;3
-	ssl_ciphers 'EECDH+AES:+AES128:+AES256:+SHA'; 
+	ssl_ciphers 'EECDH+CHACHA20:EECDH+AESGCM:DHE+CHACHA20:DHE+AESGCM'; # or EECDH+CHACHA20:EECDH+AES:DHE+CHACHA20:DHE+AES:+SHA
 	ssl_prefer_server_ciphers on; # Parceque les clients on une config TLS toute pouritte
 	ssl_protocols +TLSv1.2 -TLSv1.1 -TLSv1 -SSLv3 -SSLv2; # POODLE sur ≤TLS1.1
 	ssl_dhparam ssl/dhparam.pem; # “openssl dhparam -out dhparam.pem 2048” (4096 est <strong>très</strong> long)
+	ssl_dhparam secp384r1:secp521r1; # if("failed: unknown curve"): ssl_dhparam secp384r1;
 	add_header <a href="https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security">Strict-Transport-Security</a> 'max-age=15768000;includeSubDomains'; # Garder l’https pendant 6 mois et inclure les sous-domaines
 	add_header <a href="https://fr.wikipedia.org/wiki/HTTP_Public_Key_Pinning">Public-Key-Pins</a> 'pin-sha256="vOs/I6cJeaMzFkoEpscUvF/ahXvr7Cn4gDT7xTfhz+I="; max-age=5184000; includeSubDomains; report-uri="https://example.tld/report"'; # Garder en mémoire la signature de la clé publique pendant 60 jours et inclure les sous-domaines et rapport d’erreurs à https://example.tld/report
 }</code></pre>