Aller au contenu

Configuration du côté client et serveur#


Présentation des éléments de configuration du client et du serveur#

  • Protocole TLS version (1.2 ou 1.3)
  • Suites cryptographiques
  • Certificats et clés
  • Chaîne de confiance des certificats
  • Extensions TLS

Création d'une configuration TLS de base#

  • Génération de clé privée et demande de certificat (CSR)
    • openssl genrsa -out private.key 2048
    • openssl req -new -key private.key -out request.csr
  • Installation du certificat serveur
    • openssl x509 -req -in request.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
  • Configuration du serveur avec les fichiers de certificat et clé privée
  • Configuration minimale du client pour la vérification du certificat serveur

Choix des protocoles et suites cryptographiques#

  • Utilisation de TLS 1.2 ou 1.3 pour une meilleure sécurité
  • Sélection des suites cryptographiques en fonction des besoins (AES, ChaCha20, ECC, RSA)
  • Exemple : ECDHE-ECDSA-AES256-GCM-SHA384
  • Désactiver les suites cryptographiques obsolètes ou vulnérables

Paramètres de performance et de compatibilité#

  • Utilisation de la réutilisation de la session pour améliorer les performances
  • Activation de l'extension SNI pour la compatibilité avec les clients modernes
  • Configuration du serveur pour gérer les connexions simultanées et la répartition de charge

Utilisation des outils et commandes pour tester la configuration TLS#

  • Tester la configuration avec openssl s_client et openssl s_server
    • Exemple : openssl s_client -connect example.com:443
  • Utiliser des outils en ligne tels que SSL Labs (ssllabs.com) pour vérifier la configuration et les vulnérabilités
  • Analyse des journaux du serveur pour vérifier les erreurs et les connexions établies