De bons réglages par défaut réduisent la surface d’attaque et les mauvaises surprises lors des renouvellements.
- Désactiver les anciens protocoles
N’offrir que TLS, 1.2+ (idéalement TLS, 1.3), désactiver SSLv3/TLS, 1.0/1.1.
Vérifier: curl -I --tlsv1.0 https://domaine.tld doit échouer, compléter par un scan externe (p. ex. SSL Labs).
- Suites modernes et Perfect Forward Secrecy (PFS)
Privilégier les suites TLS, 1.3, retirer les suites obsolètes/faibles, activer la PFS.
Vérifier: nmap --script ssl-enum-ciphers -p 443 domaine.tld (pas de RC4/3DES, suites TLS, 1.3 visibles).
- OCSP stapling + chaîne de certificats complète
Servir la chaîne complète dans le bon ordre et activer l’OCSP stapling.
Vérifier: openssl s_client -status -showcerts -connect domaine.tld:443 | openssl x509 -noout -issuer -subject (statut stapling présent, chaîne complète).
- HSTS avec preload (après tests)
En-tête: Strict-Transport-Security: max-age=31536000, includeSubDomains, preload
Vérifier: contrôler l’en-tête, valider sur hstspreload.org / securityheaders.com.
- Automatiser les renouvellements et surveiller l’expiration
Utiliser ACME (Let’s Encrypt etc.) avec renouvellement auto, alertes en cas d’échec/expiration.
Vérifier: echo | openssl s_client -servername domaine.tld -connect domaine.tld:443 2>/dev/null | openssl x509 -noout -enddate