Bonjour,
j’ai fait un test sur le site suivant 
j’utilise la derniere version de yunohsot et des certificats let’s encrypt
qu’en pensez vous ?
comment avoir la meilleur de note de sécurisation ?
merci
Bonjour @Issa,
Pour obtenir un meilleure sécurité tout d’abord, le mieux est d’y aller par étape. Pour résoudre déjà l’erreur que SSLlabs semble mettre en avant :
1/ Pour activer l’OCSP Stapling ([SÉCURITÉ] Ajouter l’OCSP Stapling dans Yunohost 3.3 et supérieur), recharge les conf des services yunohost[EDIT] :
~# yunohost service regen-conf
2 / Tu dois lancer en ligne de commande :
~# openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
3/ Tu dois modifier ta conf nginx de ton domaine (/etc/nginx/conf.d/domaine.tld.conf), trouver la ligne :
#ssl_dhparam /etc/ssl/private/dh2048.pem;
et la décommenter :
ssl_dhparam /etc/ssl/private/dh2048.pem;
4/ Tu recharges nginx en ligne de commande:
~# systemctl reload nginx
1 Like
Je suis pourtant avec un certificat let’s encrypt et j’ai le résultat suivant :
faut il que je fasse quand même la manip ?
Pour diffie Hellmann oui. Enfin après ça dépend si de quoi tu as peur. Honnêtement, B c’est déjà pas mal pour protéger ta communication.
Si tu as A c’est que tu as désactivé TLS1 et TLS1.1, donc que potentiellement certains smartphone en android 4 par exemple ne peuvent plus accéder à ton site. A toi de voir donc.
A noter qu’il y a un paramètre yunohost qui permet de passer dans une configuration moderne plutôt qu’intermédiaire. Mais certains dispositifs n’auront plus accès (donc c’est pas bien pour l’environnement).
yunohost settings set security.nginx.compatibility modern
yunohost service regen-conf
3 Likes
Bonjour,
Quelques explications des changements de notation:
2 Likes
Oui, effectivement, j’avais vu dans le résultat qu’ils abaissaient la note automatiquement en cas d’acceptation de TLS 1.0 et 1.1.
Merci