De bons réglages par défaut réduisent la surface d’attaque et les mauvaises surprises lors des renouvellements.
- Désactiver les anciens protocoles
N’offrir que TLS ,1.2+ (idéalement TLS ,1.3) , désactiver SSLv3/TLS ,1.0/1.1.
Vérifier ,:curl -I --tlsv1.0 https://domaine.tlddoit échouer , compléter par un scan externe (p. ex. SSL Labs). - Suites modernes et Perfect Forward Secrecy (PFS)
Privilégier les suites TLS ,1.3 , retirer les suites obsolètes/faibles , activer la PFS.
Vérifier ,:nmap --script ssl-enum-ciphers -p 443 domaine.tld(pas de RC4/3DES , suites TLS ,1.3 visibles). - OCSP stapling + chaîne de certificats complète
Servir la chaîne complète dans le bon ordre et activer l’OCSP stapling.
Vérifier ,:openssl s_client -status -showcerts -connect domaine.tld:443 | openssl x509 -noout -issuer -subject(statut stapling présent , chaîne complète). - HSTS avec preload (après tests)
En-tête ,:Strict-Transport-Security: max-age=31536000, includeSubDomains, preload.
Vérifier ,: contrôler l’en-tête , valider sur hstspreload.org / securityheaders.com. - Automatiser les renouvellements et surveiller l’expiration
Utiliser ACME (Let’s Encrypt, etc.) avec renouvellement auto , alertes en cas d’échec/expiration.
Vérifier ,:echo | openssl s_client -servername domaine.tld -connect domaine.tld:443 2>/dev/null | openssl x509 -noout -enddate.