Bonjour à tous,

Maintenant que le draft de TLS 1.3 a été validé dans sa version finale, on va enfin voir comment utiliser TLS 1.3 avec Nginx et Debian 9.

 

Pour plus d’informations

J’ai déjà fait un article en détail sur la compilation de NGINX, nous n’y reviendrons pas ici : https://www.abyssproject.net/2016/11/compiler-nginx-pourquoi-comment/

 

Si vous voulez installer un serveur web complet, vous pouvez commencer par la : https://www.abyssproject.net/2017/06/monter-serveur-web-debian-9/

Prérequis

 

Installation ou mise à jour du NGINX existant

Télécharger et lancez mon script de build, répondez simplement aux deux questions posées au début selon votre situation :

cd /tmp && wget --no-check-certificate https://raw.githubusercontent.com/stylersnico/nginx-openssl-chacha/master/build.sh && sh build.sh
Did you run this script before? (y/n) y
Do you want NAXSI WAF (still experimental)? (y/n) y

 

Maintenant, vous aurez un NGINX compilé avec la dernière version dev de OpenSSL 1.1 et avec le support de TLS 1.3 activé pour les draft 23 + 26 + 27 + 28 + final.

 

Les changements dans la configuration existante

Maintenant, il va falloir faire les modifications dans NGINX pour que vous puissiez utiliser TLS 1.3.

On va voir uniquement ce qui change, si vous voulez une configuration complète, optimisée et sécurisée alors vous pouvez vous tourner vers ma configuration standard : https://github.com/stylersnico/nginx-secure-config

 

Ouvrez votre fichier de configuration NGINX :

nano /etc/nginx/nginx.conf

 

Recherchez d’abord la ligne des protocoles :

ssl_protocols TLSv1.2;

 

Ici, ajoutez la nouvelle version de TLS :

ssl_protocols TLSv1.2 TLSv1.3;

 

Maintenant, il va falloir chercher la ligne qui spécifie les ciphers utilisés :

ssl_ciphers 'EECDH+AESGCM:EECDH+CHACHA20';

 

Ajoutez les ciphers spécifiques au nouveau protocole au début :

ssl_ciphers 'TLS13+AESGCM+AES128:EECDH+AESGCM:EECDH+CHACHA20';

 

Maintenant, redémarrez nginx :

service nginx restart

 

Validation de la bonne configuration

Maintenant, le moyen le plus simple pour valider la bonne marche du fonctionnement de TLS 1.3 c’est de visiter votre site avec un Firefox ou Chrome à jour.

Ouvrez les détails de votre connexion TLS et vous devriez voir que vous utilisez bien le nouveau protocole :

 

Vous pouvez aussi allez sur SSLLABS et valider la bonne marche de votre domaine : https://dev.ssllabs.com/ssltest/analyze.html?d=abyssproject.net&s=195.201.117.190