Vous trouverez ci-dessous quelques bonnes pratiques clés relatives à la configuration du serveur web (Apache/IIS).
Modifiez les pages d’erreur par défaut.
Désactivez l’ancienne version de SSL et les chiffrements :
Sur Apache, modifiez le fichier /etc/apache2/mods-available/ssl.conf. Voici un exemple :
Sur IIS (voir la documentation), effectuez la configuration suivante :
Ajoutez la sous-clé de registre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pour que le système puisse utiliser les protocoles qui ne seront pas négociés par défaut (tels que TLS 1.2), remplacez les données de la valeur DWORD de la valeur DisabledByDefault par 0x0 dans les clés de registre suivantes sous la clé Protocols :
SCHANNEL\Protocols\TLS 1.2\Client
SCHANNEL\Protocols\TLS 1.2\Server
Désactivez SSL x.0
SCHANNEL\Protocols\SSL 3.0\Client : DisabledByDefault : valeur DWORD (32 bits) sur 1
SCHANNEL\Protocols\SSL 3.0\Server : Enabled : valeur DWORD (32 bits) sur 0
Supprimez la méthode TRACE :
Sur Apache, modifiez le fichier /etc/apache2/conf.d/security : TraceEnable Off.
Sur IIS (voir la documentation), effectuez la configuration suivante :
Supprimez la bannière :
Sur Apache, modifiez le fichier /etc/apache2/conf.d/security :
Sur IIS, effectuez la configuration suivante :
Limitez la taille des requêtes pour empêcher le téléchargement de fichiers volumineux :
**** Sur Apache, ajoutez la directive LimitRequestBody (taille en octets) dans le répertoire /.
<Directory />
Options FollowSymLinks
AllowOverride None
LimitRequestBody 10485760
</Directory>
Sur IIS (voir la documentation), définissez la valeur maxAllowedContentLength (longueur de contenu maximale autorisée) dans les options de filtrage de contenu.
Rubriques connexes :