Meilleur que A+ ?billred wrote: Il me semble que les résultat sont meilleur.
Certe tu doit avoir raison.lokiii wrote: PS: typiquement pleins de discutions sur le pourquoi ssl_ecdh_curve secp521r1; ne sert à rien comparé au 384, si ce n'est de ralentir ta connexion au site car trop sécurisé pour rien de bénéfique
ssl_protocols TLSv1.2 TLSv1.1;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_ciphers ' ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:3m;
ssl_session_timeout 12h;
add_header Strict-Transport-Security "max-age=15768000";
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
sarcasme ?Solinvictus wrote:Posséder un domaine, et ne pas avoir de A+, c'est un sentiment d'échec effroyable; Parlez-en, ne restez pas murer dans le silence.
Tu penses ?billred wrote:sarcasme ?
Oui, mais il y a quelque chose de très important que tu omets de dire. C'est la compatibilité.billred wrote:D'accord tu as certainement raison.Magicalex wrote:@billred Strict-Transport-Security on a expliqué pourquoi on a fait ce choix.
pareil pour ssl_protocols TLSv1.2; et pareil pour ssl_ecdh_curve secp521r1; etc.
Notre config est faite pour fonctionner sur un large nombres de navigateur et d'OS, tout en ayant une sécurité convenable.
Donc je déconseille la configuration de billred.
D'autant plus que avec la config du tuto on obtient un A+. Pour preuve, mondedie utilise la config du tuto https://tls.imirhil.fr/https/mondedie.fr
Mais alors, mon site arrive a ce résultat
Il me semble que les résultat sont meilleur.
[qui a certainement crus au troll avec le post que je venais d'envoyer]
root@monserver:/home/manuser# 'systemctl status nginx.service
> 'systemctl status nginx.service
bash: $'systemctl status nginx.service\nsystemctl': command not found
root@dmonserver:/home/manuser# systemctl status nginx.service
● nginx.service - LSB: Stop/start nginx
Loaded: loaded (/etc/init.d/nginx)
Active: failed (Result: exit-code) since Thu 2016-02-11 17:37:43 CET; 10min ago
Process: 324 ExecStart=/etc/init.d/nginx start (code=exited, status=1/FAILURE)
Feb 11 17:37:43 monserver nginx[324]: nginx: [emerg] invalid number of arg...6
Feb 11 17:37:43 monserver systemd[1]: nginx.service: control process exite...1
Feb 11 17:37:43 monserver systemd[1]: Failed to start LSB: Stop/start nginx.
Feb 11 17:37:43 monserver systemd[1]: Unit nginx.service entered failed state.
Hint: Some lines were ellipsized, use -l to show in full.
root@monserver:/home/manuser#
Detail: Failed to connect to host for DVSNI challengemajaxx wrote:Bonjour , j'ai suivi le tuto et j'ai cette erreur la :Je précise que j'essaye avec un .tk , et les dns de mon serveur sont ceux de googleDetail: Failed to connect to host for DVSNI challenge
Avez vous déjà rencontré ce problème ?
Merci pour votre aide
Soit tu reprends, tous les trois mois, la procédure que tu as effectuée initialement, soit tu fais (ou c/c) un petit script pour automatiser cette dernière. Dans les deux cas, rien de plus compliqué.jackused wrote:Bonjour à tous,
J'ai mis en place des certificats il y a plus de 2 mois et tout fonctionne très bien.
Mais je viens de recevoir le mail de let's encrypt pour l'expiration prochaine de mes certificats.
Y-a-t-il une méthode simple pour les mettre à jour ?
merci.
