SSL lab reports - Overall Rating B

Bonjour,

j’ai fait un test sur le site suivant :slight_smile:

j’utilise la derniere version de yunohsot et des certificats let’s encrypt

qu’en pensez vous ?

comment avoir la meilleur de note de sécurisation ?

merci

Bonjour @Issa,

Pour obtenir un meilleure sécurité tout d’abord, le mieux est d’y aller par étape. Pour résoudre déjà l’erreur que SSLlabs semble mettre en avant :

1/ Pour activer l’OCSP Stapling ([SÉCURITÉ] Ajouter l’OCSP Stapling dans Yunohost 3.3 et supérieur), recharge les conf des services yunohost[EDIT] :
~# yunohost service regen-conf

2 / Tu dois lancer en ligne de commande :
~# openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048

3/ Tu dois modifier ta conf nginx de ton domaine (/etc/nginx/conf.d/domaine.tld.conf), trouver la ligne :
#ssl_dhparam /etc/ssl/private/dh2048.pem;
et la décommenter :
ssl_dhparam /etc/ssl/private/dh2048.pem;

4/ Tu recharges nginx en ligne de commande:
~# systemctl reload nginx

1 Like

Je suis pourtant avec un certificat let’s encrypt et j’ai le résultat suivant :

faut il que je fasse quand même la manip ?

Pour diffie Hellmann oui. Enfin après ça dépend si de quoi tu as peur. Honnêtement, B c’est déjà pas mal pour protéger ta communication.

Si tu as A c’est que tu as désactivé TLS1 et TLS1.1, donc que potentiellement certains smartphone en android 4 par exemple ne peuvent plus accéder à ton site. A toi de voir donc.

A noter qu’il y a un paramètre yunohost qui permet de passer dans une configuration moderne plutôt qu’intermédiaire. Mais certains dispositifs n’auront plus accès (donc c’est pas bien pour l’environnement).

yunohost settings set security.nginx.compatibility modern
yunohost service regen-conf

3 Likes