J’ai utilisé observatory.mozilla.org pour analyser le site, et j’ai découvert que l’évaluation du Scan Summary n’était que F. Alors, en suivant les explications du site, j’ai légèrement ajusté la configuration du serveur web, comme ceci :

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "*"
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"

Et la note est montée à A-. Pour la Content-Security-Policy, si j’ajoutais tous les domaines appelés de manière externe, je devrais pouvoir obtenir un A, mais les tests sont trop pénibles, donc pour le moment, je vais faire avec.

Le résultat du Scan Summary de TLS Observatory était aussi F. En utilisant le Mozilla SSL Configuration Generator, j’ai ajouté quelques paramètres :

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-CM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
#SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
#SSLHonorCipherOrder     on
#SSLCompression          off
#SSLSessionTickets       off

Ça n’a pas vraiment aidé, je ne sais pas pourquoi ?

Il faudra que je prenne le temps de vérifier ça plus tard.