Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Chandan Kumar in Apache HTTP  |  Dernière mise à jour : 29 octobre 2022
Partager sur:

Comment activer TLS 1.3 dans Apache, Nginx et Cloudflare?

tls
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Un guide étape par étape pour activer la dernière version et tester le protocole TLS version 1.3

Avant la procédure d'implémentation, examinons ce qu'est TLS 1.3, en quoi il diffère de 1.2, son historique et sa compatibilité.

Qu'est-ce que TLS 1.3?

TLS (sécurité de la couche de transport) 1.3 est basé sur les spécifications 1.2 existantes. C'est la dernière version du protocole TLS et vise à améliorer les performances et la sécurité.

Pour en savoir plus, reportez-vous à cet article de Filippo.

Jetons un coup d'œil à l'histoire du protocole TLS.

tls-histoire

Le protocole TLS peut être activé sur les serveurs Web, les CDN, les équilibreurs de charge et les périphériques de périphérie du réseau.

Compatibilité du navigateur TLS 1.3

1.3 n'est pas encore pris en charge dans tous les navigateurs. Actuellement, il ne fonctionne qu'avec la dernière version de Chrome, Firefox, Opera et iOS Safari. Si vous souhaitez mettre en œuvre dès qu'il prend en charge tous les navigateurs, ajoutez-le à vos favoris Page CanIUse. Étant donné qu'il en est encore à un stade précoce, vous souhaiterez peut-être activer la 1.3 avec les anciennes versions 1.2 et 1.1.

Découvrez comment activez-le dans le navigateur.

Voici les analyses TLS pour Geekflare. Comme vous pouvez le voir, plus de 70% des demandes via TLS 1.3.

tls-analytics-geekflare

Enable TLS 1.3 in Nginx

TLS 1.3 est pris en charge à partir de Version Nginx 1.13. Si vous utilisez l'ancienne version, vous devez d'abord mettre à niveau.

Je suppose que vous avez Nginx 1.13+

  • Connectez-vous au serveur Nginx
  • Faites une sauvegarde de nginx.conf filet
  • modifier nginx.conf en utilisant vi ou votre éditeur préféré

La configuration par défaut sous les paramètres SSL devrait ressembler à ceci

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  • Ajouter TLSv1.3 à la fin de la ligne, et cela ressemble donc à ci-dessous
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

Remarque: la configuration ci-dessus autorisera TLS 1 / 1.1 / 1.2 / 1.3. Si vous souhaitez activer le sécurisé TLS 1.2 / 1.3, alors votre configuration devrait ressembler à ceci.

ssl_protocols TLSv1.2 TLSv1.3;
  • Redémarrez le Nginx
service nginx restart

C'est facile. N'est-ce pas?

Enable TLS 1.3 in Apache

À partir d'Apache HTTP 2.4.38, vous pouvez tirer parti de TLS 1.3. Si vous utilisez toujours l'ancienne version, vous devez d'abord penser à la mettre à niveau.

La configuration est simple et similaire à la façon dont vous activez le protocole TLS 1.2 ou 1.1.

Nous allons jeter un coup d'oeil…

  • Connectez-vous au serveur HTTP Apache et effectuez une sauvegarde ou ssl.conf fichier ou où vous avez la configuration SSL
  • Localiser SSLProtocol ligne et ajouter +TLSv1.3 au bout de la ligne

Ex: ce qui suit autoriserait TLS 1.2 et TLS 1.3

SSLProtocol -all +TLSv1.2 +TLSv1.3
  • Enregistrez le fichier et redémarrez Apache HTTP

Cloudflare

L'un des premiers fournisseurs de CDN à implémenter la prise en charge de TLS 1.3. Cloudflare l'activer par défaut pour tous les sites Web.

Cependant, si vous devez désactiver ou vérifier, voici comment vous pouvez le faire.

  • Connectez-vous à Cloudflare
  • Allez dans l'onglet SSL / TLS >> Certificats Edge
  • Faites défiler un peu vers le bas et vous verrez l'option TLS 1.3
cloudflare-tls1-3

Quelle autre plate-forme prend en charge TLS 1.3?

Je connais le CDN suivant.

  • 77 CDN - Récemment, ils ont annoncé le soutien de certains de leurs POP (point de présence).
  • AKAMAÏ - AKAMAI a activé la version bêta à l'échelle du réseau.

Comment vérifier que le site utilise TLS 1.3?

Une fois que vous avez mis en œuvre via un serveur Web ou un CDN, vous voulez ensuite vous assurer que votre site établit une liaison via le protocole TLS 1.3.

Il existe plusieurs façons de le tester.

Test TLS Geekflare - découvrez rapidement la version TLS prise en charge.

résultat du test geekflare-tls

SSL Labs - entrez votre URL HTTPS et faites défiler vers le bas sur la page des résultats du test.

ssllbas-tls-13

Vous verrez ce que tous les protocoles sont activés.

Google Chrome - si vous l'activez sur des sites intranet, vous pouvez le tester directement depuis le navigateur Chrome.

  • Lancer Chrome
  • Outils de développement ouverts
  • Aller à l'onglet Sécurité
  • Accéder à l'URL HTTPS
  • Côté gauche, sélectionnez l'origine principale pour voir le protocole
chrome-test-tls-13

Et voilà!

Étant donné que TLS 1.3 est encore nouveau, vous pouvez l'implémenter sur votre site Web, mais n'oubliez pas de garder l'ancienne version activée. L'activation de TLS 1.1, 1.2 garantira que le client (navigateurs) pourra se connecter via d'autres versions de protocole s'ils ne sont pas compatibles avec 1.3

J'espère que cela vous donne une idée de la mise en œuvre du dernier protocole TLS pour offrir mieux la sécurité d'un site web.

Tagué comme
Merci à nos commanditaires
Plus de bonnes lectures sur Apache HTTP
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder