SSL/TLS c'est bien, mais ce n'est pas suffisant. Il faut aussi être très attentif à toute la chaine de chiffrement (hash, algos, clés, protocoles...)
Il y a pas mal d'attaques Mitm sur SSL et là on est pas dans le monde badbios.
Cf. Beast, Crime, Lucky13 etc. Voir à ce sujet http://www.isg.rhul.ac.uk/tls/
Bref il faut savoir correctement paramétrer son serveur en conséquence.
Pour Apache par ex:
SSLProtocol -ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH:!RC4
SSLCompression off
Cependant n'appliquez aucune recette sans comprendre exactement ce que vous faites; ie. ne faites pas un bête c/c de ce que j'ai mis ci-dessus. D'autant plus si vous utilisez aussi SSL pour d'autres protocoles que le http (smtp/imap par ex).
Pour finir je dirais que j'utilise un certificat Cacert depuis belle lurette et que je ne suis pas près de faire confiance à quelqu'un d'autre et certainement pas à Startssl.com
# Attention quand même.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à 10.
SSL/TLS c'est bien, mais ce n'est pas suffisant. Il faut aussi être très attentif à toute la chaine de chiffrement (hash, algos, clés, protocoles...)
Il y a pas mal d'attaques Mitm sur SSL et là on est pas dans le monde badbios.
Cf. Beast, Crime, Lucky13 etc. Voir à ce sujet http://www.isg.rhul.ac.uk/tls/
Bref il faut savoir correctement paramétrer son serveur en conséquence.
Pour Apache par ex:
Cependant n'appliquez aucune recette sans comprendre exactement ce que vous faites; ie. ne faites pas un bête c/c de ce que j'ai mis ci-dessus. D'autant plus si vous utilisez aussi SSL pour d'autres protocoles que le http (smtp/imap par ex).
En vrac qq liens utiles pour avancer:
Une petite feuille d'aide à propos de TLS:
https://www.owasp.org/index.php?title=Transport_Layer_Protection_Cheat_Sheet
Les recommandations de Mozilla:
https://wiki.mozilla.org/Security/Server_Side_TLS
L'avis d'un monsieur qui sait de quoi il parle (Peter Gutmann)
http://www.cs.auckland.ac.nz/~pgut001/tutorial/index.html
Pour finir je dirais que j'utilise un certificat Cacert depuis belle lurette et que je ne suis pas près de faire confiance à quelqu'un d'autre et certainement pas à Startssl.com