Tutoriel 📝 Renforcement des protocoles réseau avec TLS 1.2+ (Linux)

[Sylvain*]

Renforcement des protocoles réseau sous Linux avec TLS 1.2 ou supérieur

Introduction

• Ce tutoriel vous montre comment renforcer la sécurité des protocoles réseau sous Linux en configurant TLS 1.2 ou supérieur dans les principaux services réseau, comme Apache, Nginx, ou OpenSSL. Ces configurations empêchent l’utilisation de versions obsolètes de TLS, réduisant ainsi les risques d’attaques.

---

Prérequis

• Un serveur Linux (Debian, Ubuntu, CentOS, ou autres).

• Accès root ou sudo.

• OpenSSL et un serveur web (Apache/Nginx) installés et configurés.

---

Méthodologie

• Deux approches sont proposées pour activer TLS 1.2 ou supérieur :

• Méthode 1 : Configuration manuelle dans les fichiers de configuration des services.

• Méthode 2 : Vérification et renforcement via OpenSSL.

---

Avantages des 2 méthodes

• Méthode 1 : Contrôle granulaire des paramètres de TLS pour chaque service.

• Méthode 2 : Facilité de vérification et compatibilité avec plusieurs services.

---

Inconvénients des 2 méthodes

• Méthode 1 : Peut nécessiter des redémarrages fréquents des services.

• Méthode 2 : Limité à la configuration TLS côté client et serveur OpenSSL.

---

Étapes pour chaque méthode

Méthode 1 : Configuration manuelle des services


Pour Apache :

sudo nano /etc/apache2/sites-available/default-ssl.conf

• Ajoutez ou modifiez les lignes suivantes :

SSLProtocol All -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

• Redémarrez Apache :

sudo systemctl restart apache2

Pour Nginx :

sudo nano /etc/nginx/nginx.conf

• Modifiez la section SSL :

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;

• Rechargez la configuration :

sudo nginx -s reload

---

Méthode 2 : Vérification et renforcement via OpenSSL

Vérifiez la version d’OpenSSL :

openssl version

Testez les connexions TLS disponibles :

openssl s_client -connect votre_serveur:443 -tls1_2

Si nécessaire, mettez à jour OpenSSL pour activer TLS 1.3 :

sudo apt install openssl

Configurez OpenSSL pour refuser les protocoles obsolètes :

sudo nano /etc/ssl/openssl.cnf

• Ajoutez cette directive :

MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2

• Redémarrez les services utilisant OpenSSL.

---

Astuce

• Utilisez des outils comme Qualys SSL Labs pour tester vos configurations TLS en ligne.

---

Mise en garde

• Une mauvaise configuration des paramètres TLS peut entraîner des erreurs de connexion. Testez chaque modification avant de la déployer en production.

---

Conseil

• Activez les journaux SSL pour surveiller les connexions et identifier les tentatives utilisant des protocoles obsolètes.

---

Solution alternative

• Envisagez d'utiliser des solutions comme HAProxy pour gérer la terminaison TLS avec des configurations avancées.

---

Références

• Documentation Apache - SSL/TLS

• Documentation Nginx - HTTPS

• Documentation officielle OpenSSL

---

Conclusion

• En renforçant vos protocoles réseau avec TLS 1.2 ou supérieur sous Linux, vous garantissez une communication sécurisée et conformez vos services aux normes modernes de sécurité.