Stronger SSL config
This commit is contained in:
nemunaire
parent
17a05b0d26
commit
ec2604142f
3 changed files with 6 additions and 2 deletions
1
TODO
1
TODO
|
|
@ -1,7 +1,6 @@
|
||||||
- Départager les ex-æquo dans le classement
|
- Départager les ex-æquo dans le classement
|
||||||
- Résoudre le problème potentiel de famine de l'ordonnanceur en cas de brute-force d'une équipe
|
- Résoudre le problème potentiel de famine de l'ordonnanceur en cas de brute-force d'une équipe
|
||||||
- Retrouver toutes les dépendances
|
- Retrouver toutes les dépendances
|
||||||
- Vérifier la liste des ciphers dans la conf de nginx
|
|
||||||
- Dans la conf de nginx, vérifier que le contenu statique soit mis en cache côté navigateur
|
- Dans la conf de nginx, vérifier que le contenu statique soit mis en cache côté navigateur
|
||||||
- Mettre à jour Smarty (et passer en « secure mode » ?)
|
- Mettre à jour Smarty (et passer en « secure mode » ?)
|
||||||
- Admin, exercice: pas normal qu'il y ait des réponses RAW dans les data de tests
|
- Admin, exercice: pas normal qu'il y ait des réponses RAW dans les data de tests
|
||||||
|
|
|
||||||
|
|
@ -5,6 +5,8 @@
|
||||||
index index.php;
|
index index.php;
|
||||||
|
|
||||||
add_header Strict-Transport-Security "max-age=2592000; includeSubdomains";
|
add_header Strict-Transport-Security "max-age=2592000; includeSubdomains";
|
||||||
|
add_header X-Frame-Options DENY;
|
||||||
|
add_header X-Content-Type-Options nosniff;
|
||||||
|
|
||||||
location / {
|
location / {
|
||||||
if (-f $request_filename) {
|
if (-f $request_filename) {
|
||||||
|
|
|
||||||
|
|
@ -24,12 +24,15 @@ server {
|
||||||
ssl_certificate_key /var/www/fic-server/server.key;
|
ssl_certificate_key /var/www/fic-server/server.key;
|
||||||
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
|
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
|
||||||
ssl_prefer_server_ciphers on;
|
ssl_prefer_server_ciphers on;
|
||||||
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!ADH:!AECDH:!MD5:!DSS;
|
# ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!ADH:!AECDH:!MD5:!DSS;
|
||||||
|
ssl_ciphers AES256+EECDH:AES256+EDH;
|
||||||
ssl_client_certificate /var/www/fic-server/cacert.crt;
|
ssl_client_certificate /var/www/fic-server/cacert.crt;
|
||||||
ssl_verify_client optional;
|
ssl_verify_client optional;
|
||||||
ssl_crl /var/www/fic-server/crl.pem;
|
ssl_crl /var/www/fic-server/crl.pem;
|
||||||
|
|
||||||
add_header Strict-Transport-Security "max-age=2592000; includeSubdomains";
|
add_header Strict-Transport-Security "max-age=2592000; includeSubdomains";
|
||||||
|
add_header X-Frame-Options DENY;
|
||||||
|
add_header X-Content-Type-Options nosniff;
|
||||||
|
|
||||||
error_page 400 /errors/400/index.html;
|
error_page 400 /errors/400/index.html;
|
||||||
error_page 403 /errors/403/index.html;
|
error_page 403 /errors/403/index.html;
|
||||||
|
|
|
||||||
Reference in a new issue