Attention, DNSSEC n'a
absolument pas vocation à remplacer SSL/TLS, ce sont deux protocoles différents et complémentaires.
- DNSSEC permet de sécuriser cryptographiquement les données envoyées par le DNS.
- SSL/TLS permet d'assurer la confidentialité et l'intégrité des données échangées sur le réseau en chiffrant la communication client / serveur. L'implémentation du protocole HTTPS utilise TLS uniquement pour chiffrer les données qui transitent.
Mais attention, accéder à un site via HTTPS avec le petit cadenas vert dans la barre d'adresse ne veut
absolument pas dire que le site est sécurisé, loin de là... HTTPS est l'un des piliers, mais il y a en d'autres, DNSSEC en fait parti.
Un rappel sur ça, par le créateur d'OSSEC :
http://dcid.me/notes/2014-oct-26 (c'est assez violent ce qu'il dit mais c'est vraiment la réalité).
Ensuite mettre HTTPS sur son site c'est bien, mais encore faut-il le faire correctement :
- La longueur de la clé privée doit être suffisante :
2048bits minimum
- Utiliser un protocole de chiffrement sans faille majeure connue à ce jour : TLSv1.0, 1.1, 1.2
- Utiliser une suite de ciphers qui assure un chiffrement de haut niveau, on oubli RC4, 3DES & co, c'est obsolète.
- Utiliser le principe
Diffie-Hellman pour l'échange des clés.
- Utiliser la
PFS (Perfect Forward Secrecy)
- Pleins d'autres choses...
Ma banque est bien loin du perfect malheuresement... :
Un perfect ça serait plutôt Github par exemple
:
Tout est dans ce document si tu veux en savoir plus :
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
et ici :
https://wiki.mozilla.org/Security/Server_Side_TLS
Tu peux tester ton site avec cet outil :
https://www.ssllabs.com/ssltest/
En bonus, un outil pour faire une conf nginx/apache sécure :
https://mozilla.github.io/server-side-tls/ssl-config-generator/
C'est un domaine complexe sur lequel il y a énormement de choses à dire, je vais pas m'étendre parce que c'est pas le sujet du tuto. Mais c'est bien de s'intéresser à ça comme tu le fait.