Cet article fait suite à l'article sur la sécuristion de son VPS, où l'on avait installé le service fail2ban et sécurisé le service SSH.
Par défaut, letsencrypt génère une clé et une demande de certificat à chaque renouvellement, ce qui modifie l'empreinte du certificat et rend donc HPKP inutilisable. Il existe pourtant un autre moyen de faire: générer un clé et une demande de certificat à la main et laisser à letsencrypt seulement le soin de générer le certificat à partir de ce dernier.
Après un discution avec Jean-Yvon Landrac (Orolia SAS) au State of the Map France 2017, à Avignon, j'ai eu envie d'implémenter mon propre serveur de cartographie. Comme je ne suis ni un debianeux ni un ubuntiste, le défi est de l'installer sur CentOS 7 ou Fedora.
Ou comment supprimer unsafe-inline et unsafe-eval de script-src dans l'en-tête HTTP Content-Security-Policy avec Wordpress et obtenir un A+ sur securityheaders.io.
Une petite explication de texte sur quelques options et en-têtes HTTP d'apache.
L'avantage avec letsencrypt, c'est que le seul pré-requis est d'être propriétaire du domaine (ou du sous domaine). Le nom DNS doit correspondre à l'hôte qui a lancé le processus de certification.
Par défaut, en passant par un proxy http, Apache loggue l'adresse IP du proxy et non celle à l'origine de la connexion dans les fichiers access. Pour résoudre ce problème, on va utiliser le module apache mod_remoteip. On active ce module en créant le fichier /etc/httpd/conf.modules.d/00-remoteip.con...
Lors d'envoi de mail par un script PHP (via sendmail), L'en-tête X-Authentication-Warning est ajouté au mail si c'est l'utilisateur apache qui l'envoie.
Résultat: A+
La directive de configuration d'apache SSLCertificateChainFile est maintenant dépréciée (à partir d'apache 2.4.8) pour spécifier un certificat intermédiaire.