Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Apache HTTP , Nginx et Sécurité Dernière mise à jour : 16 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Un guide étape par étape pour activer la dernière version du protocole TLS 1.3 et la tester.

Avant de passer à la procédure de mise en œuvre, examinons ce qu'est TLS 1.3, en quoi il diffère de la version 1.2, son histoire et sa compatibilité.

Qu'est-ce que TLS 1.3 ?

TLS (transport layer security) 1.3 est basé sur les spécifications 1.2 existantes. Il s'agit de la dernière version du protocole TLS, qui vise à améliorer les performances et la sécurité.

Pour en savoir plus, consultez cet article de Filippo.

Jetons un coup d'œil à l'histoire du protocole TLS.

tls-history

Le protocole TLS peut être activé sur les serveurs web, les CDN, les équilibreurs de charge et les périphériques de réseau.

Compatibilité des navigateurs avec TLS 1.3

La version 1.3 n'est pas encore prise en charge par tous les navigateurs. Actuellement, elle ne fonctionne qu'avec les dernières versions de Chrome, Firefox, Opera et iOS Safari. Si vous souhaitez la mettre en œuvre dès qu'elle sera prise en charge par tous les navigateurs, ajoutez-la à vos favoris. Page CanIUse. Étant donné qu'il s'agit encore d'un stade précoce, vous pouvez activer la version 1.3 ainsi que les anciennes versions 1.2 et 1.1.

Découvrez comment l'activer dans le navigateur.

Voici l'analyse TLS pour Geekflare. Comme vous pouvez le voir, plus de 70% des requêtes utilisent TLS 1.3.

tls-analytics-geekflare

Activer TLS 1.3 dans Nginx

TLS 1.3 est pris en charge à partir de Version Nginx 1.13. Si vous utilisez l'ancienne version, vous devez d'abord la mettre à jour.

Je suppose que vous avez Nginx 1.13+.

  • Se connecter au serveur Nginx
  • Faites une copie de sauvegarde de nginx.conf fichier
  • Modifier nginx.conf en utilisant vi ou votre éditeur préféré

La configuration par défaut des paramètres SSL devrait ressembler à ceci

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  • Ajouter TLSv1.3 à la fin de la ligne, ce qui donne le résultat suivant
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

Remarque : la configuration ci-dessus permet d'utiliser TLS 1/1.1/1.2/1.3. Si vous souhaitez activer la version sécurisée TLS 1.2/1.3, votre configuration doit ressembler à ceci.

ssl_protocols TLSv1.2 TLSv1.3;
  • Redémarrer Nginx
service nginx restart

C'est facile. N'est-ce pas ?

Activer TLS 1.3 dans Apache

À partir de la version 2.4.38 d'Apache HTTP, vous pouvez bénéficier de TLS 1.3. Si vous utilisez encore l'ancienne version, vous devez d'abord penser à la mettre à jour.

La configuration est facile et similaire à la façon dont vous activez le protocole TLS 1.2 ou 1.1.

Jetons un coup d'œil...

  • Se connecter au serveur HTTP Apache et faire une sauvegarde ou ssl.conf ou à l'endroit où vous avez configuré SSL
  • Localiser SSLProtocol et ajouter +TLSv1.3 à la fin de la ligne

Ex : les éléments suivants autoriseraient TLS 1.2 et TLS 1.3

SSLProtocol -all +TLSv1.2 +TLSv1.3
  • Enregistrez le fichier et redémarrez Apache HTTP

Cloudflare

L'un des premiers fournisseurs de CDN à mettre en œuvre la prise en charge de TLS 1.3. Cloudflare l'active par défaut pour tous les sites web.

Cependant, si vous avez besoin de désactiver ou de vérifier, voici comment vous pouvez le faire.

  • Se connecter à Cloudflare
  • Aller dans l'onglet SSL/TLS >> Certificats Edge
  • Faites défiler la page un peu plus bas, et vous verrez l'option TLS 1.3
cloudflare-tls1-3

Quelles autres plateformes supportent TLS 1.3 ?

Je connais le CDN suivant.

  • CDN 77 - Récemment, ils ont annoncé qu'ils soutiendraient certains de leurs POP (points de présence).
  • AKAMAI - AKAMAI a activé la version bêta sur l'ensemble du réseau.

Comment vérifier que le site utilise TLS 1.3 ?

Une fois que vous avez mis en place un serveur web ou un CDN, vous devez vous assurer que votre site utilise le protocole TLS 1.3.

Il y a plusieurs façons de le tester.

Test TLS de Geekflare - pour connaître rapidement la version de TLS prise en charge.

geekflare-tls-test-result

SSL Labs - entrez votre URL HTTPS et faites défiler la page des résultats du test.

ssllbas-tls-13

Vous verrez que tous les protocoles sont activés.

Google Chrome - si vous l'activez sur des sites intranet, vous pouvez le tester directement à partir du navigateur Chrome.

  • Lancer Chrome
  • Outils ouverts pour les développeurs
  • Aller dans l'onglet Sécurité
  • Accéder à l'URL HTTPS
  • Dans la partie gauche, sélectionnez l'origine principale pour voir les protocole
chrome-test-tls-13

Et voilà !

Étant donné que TLS 1.3 est encore nouveau, vous pouvez l'implémenter sur votre site web, mais n'oubliez pas de garder l'ancienne version activée. L'activation de TLS 1.1 et 1.2 permettra au client (navigateur) de se connecter via d'autres versions du protocole si elles ne sont pas compatibles avec la version 1.3.

J'espère que cela vous donnera une idée de la façon de mettre en œuvre le dernier protocole TLS afin d'offrir de meilleures conditions de travail. sécurité du site web.

  • Chandan Kumar
    Auteur
Merci à nos sponsors
Autres lectures intéressantes sur Apache HTTP
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus