Comment activer TLS 1.3 dans Apache, Nginx et Cloudflare ?

Un guide pas à pas pour activer la dernière version du protocole TLS 1.3 et la tester

Avant de passer à la procédure de mise en œuvre, voyons ce qu’est TLS 1.3, en quoi il diffère de la version 1.2, son historique et sa compatibilité.

Qu’est-ce que TLS 1.3 ?

TLS (transport layer security) 1.3 est basé sur les spécifications 1.2 existantes. Il s’agit de la dernière version du protocole TLS, qui vise à améliorer les performances et la sécurité.

Pour en savoir plus, consultez cet article de Filippo.

Jetons un coup d’œil à l’histoire du protocole TLS.

Le protocole TLS peut être activé sur les serveurs web, les CDN, les équilibreurs de charge et les périphériques de réseau.

Compatibilité TLS 1.3 avec les navigateurs

1.le protocole TLS 1.3 n’est pas encore pris en charge par tous les navigateurs. Actuellement, il ne fonctionne qu’avec les dernières versions de Chrome, Firefox, Opera et iOS Safari. Si vous souhaitez le mettre en œuvre dès qu’il sera pris en charge par tous les navigateurs, mettez cette page CanIUse dans vos favoris. Étant donné qu’il est encore à un stade précoce, vous voudrez peut-être activer la version 1.3 avec les anciennes versions 1.2 et 1.1.

Découvrez comment l’activer dans le navigateur.

Voici l’analyse TLS de Geekflare. Comme vous pouvez le constater, plus de 70 % des requêtes utilisent TLS 1.3.

Activer TLS 1.3 dans Nginx

TLS 1.3 est supporté à partir de la version 1.13 de Nginx. Si vous utilisez une version plus ancienne, vous devez d’abord la mettre à jour.

Je suppose que vous avez Nginx 1.13

Connectez-vous au serveur Nginx
Faites une sauvegarde du fichier nginx.conf
Modifiez nginx.conf en utilisant vi ou votre éditeur préféré

La configuration par défaut sous les paramètres SSL devrait ressembler à ceci

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ;

Ajoutez TLSv1.3 à la fin de la ligne, pour qu’elle ressemble à ce qui suit

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 ;

Remarque : la configuration ci-dessus autorise les protocoles TLS 1/1.1/1.2/1.3. Si vous souhaitez activer le protocole sécurisé TLS 1.2/1.3, votre configuration doit ressembler à ceci.

ssl_protocols TLSv1.2 TLSv1.3 ;

Redémarrez Nginx

service nginx restart

C’est simple comme bonjour. N’est-ce pas ?

Activer TLS 1.3 dans Apache

À partir de la version 2.4.38 d’Apache HTTP, vous pouvez profiter de TLS 1.3. Si vous utilisez encore l’ancienne version, vous devez d’abord penser à la mettre à jour.

La configuration est simple et similaire à la façon dont vous activez le protocole TLS 1.2 ou 1.1.

Jetons un coup d’oeil…

Connectez-vous au serveur HTTP Apache et faites une sauvegarde du fichier ssl.conf ou de l’endroit où vous avez configuré SSL
Localisez la ligne SSLProtocol et ajoutez TLSv1.3 à la fin de la ligne

Ex : ce qui suit autoriserait TLS 1.2 et TLS 1.3

SSLProtocol -all TLSv1.2 TLSv1.3

Sauvegardez le fichier et redémarrez Apache HTTP

Cloudflare

L’un des premiers fournisseurs de CDN à mettre en œuvre la prise en charge de TLS 1.3. Cloudflare l’active par défaut pour tous les sites web.

Cependant, si vous avez besoin de le désactiver ou de le vérifier, voici comment procéder.

Connectez-vous à Cloudflare
Allez dans l’onglet SSL/TLS >> Certificats Edge
Descendez un peu et vous verrez l’option TLS 1.3

Quelles autres plateformes supportent TLS 1.3 ?

Je connais les CDN suivants.

CDN 77 – Récemment, ils ont annoncé qu’ils supportaient certains de leurs POP (point de présence).
AKAMAI – AKAMAI a activé la version bêta sur l’ensemble de son réseau.

Comment vérifier que le site utilise TLS 1.3 ?

Une fois que vous avez mis en place un serveur web ou un CDN, vous devez vous assurer que votre site utilise le protocole TLS 1.3.

Il existe plusieurs façons de le tester.

Geekflare TLS Test – pour connaître rapidement la version TLS prise en charge.

SSL Labs – entrez votre URL HTTPS et faites défiler la page des résultats du test.

Vous verrez quels protocoles sont activés.

Google Chrome – si vous activez le protocole sur des sites intranet, vous pouvez le tester directement à partir du navigateur Chrome.

Lancez Chrome
Ouvrez Developer Tools
Allez dans l’onglet Sécurité
Accédez à l’URL HTTPS
À gauche, sélectionnez l’origine principale pour voir le protocole

Et voilà !

Étant donné que TLS 1.3 est encore nouveau, vous pouvez l’implémenter sur votre site web, mais n’oubliez pas de garder l’ancienne version activée. L’activation de TLS 1.1 et 1.2 permettra au client (navigateur) de se connecter via d’autres versions du protocole si elles ne sont pas compatibles avec la version 1.3

J’espère que cela vous donnera une idée de la façon de mettre en œuvre le dernier protocole TLS afin d’améliorer la sécurité de votre site web.

Chandan Kumar
Contributeur
- LinkedIn
Chandan Kumar est l’un des fondateurs de Geekflare. Passionné de technologie et entrepreneur, il aime aider les entreprises et les personnes du monde entier. Chandan a travaillé chez BNP Paribas, Citibank, Deutsche Bank, Motorola et HP. Il possède une connaissance approfondie des logiciels d’entreprise et des infrastructures informatiques.