Fixes #2615 #2658 #2718 : Problèmes de conf. #2869
Conversation
|
J'ai rien vu de choquant quand j'ai relu les trois fichiers, ni de typo. |
Situphen
added
S-BUG
|
Merci @Situphen , j'avais oublié ^^ |
|
Moi aussi j'oublie de temps en temps ! :D |
|
Quelques points de détails : add_header Strict-Transport-Security max-age=500 => La veleur du max-age rend le HSTS peut utile. Il est conseillé de mettre une valeur supérieure à 180 jours, et celle ci s'exprime en seconde. Les paramètres Diffie-Hellman actuels sont ceux par défaut, et ne font donc que 1024 bits. Il est conseillé d'utiliser des paramètres généré spécifiquement et avec une taille supérieure ou égale à 2048 bits. J'aurais tendance à conseiller 4096 bits, pour garder une marge d'avance. openssl dhparam -out dhparam.pem 4096 Actuellement le serveur ne donne aucune information sur le certificat SSL intermédiaire de l'authorité de certification. Celui-ci est à télécharger sur le site de startssl, et à ajouter à la suite du fichier du certificat actuel. Je ne vois pas trop de raison d'avoir un ssl_session_cache en builtin, donc avec un cache qui n'est pas partagé entre les différents worker, pour ma part j'utiliserai plutôt : ssl_session_cache shared:SSL:50m; Ensuite, si l'on accepte de perdre la compatibilité avec Android 2.x et xp (IE6 à IE8) on peut utiliser une liste de cipher plus restrictive. De manière générale, plein de bonne choses ici pour avoir une configuration robuste et adaptée : https://wiki.mozilla.org/Security/Server_Side_TLS |
Étant donné que l'on ne doit pas être compatible avec les navigateurs de ces OS, je pense qu'on peut ! |
Reprise de #2757 sur la bonne branche.
Reprise de la partie fonctionnelle de #2720.
Corrige plein de problèmes de config.
Notes de QA : à l'exception de la page de maintenance, tout le reste devrait être testable en bêta.
PS : mis à part le contenu des fichiers de conf, la doc d'install en prod n'est pas mise à jour.