Sécurité - Durcissement du chiffrement

Tweet

Afin de maintenir notre infrastructure la plus sécurisée possible, nous avons décidé de durcir les règles appliquées à l'ensemble des clients par l'intermédiaire d'un fichier centralisé appelé pre_main_include en appliquant les préconisations actuelles. Ces nouvelles règles entreront en vigueur au 1er mai 2021.

N'hésitez pas à ouvrir un ticket en cas de problème de compatibilité de votre site web, nous tâcherons de trouver une solution.

Les règles actuelles (voir article associé) :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Header always set X-XSS-Protection "1; mode=block;"

Header always set X-Content-Type-Options "nosniff"

Ajout des règles suivantes :

SSLHonorCipherOrder On

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options SAMEORIGIN

SSLCompression off

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

SSLSessionTickets Off

Articles pouvant vous intéresser :

• Règles de type CORS/CSP: https://clients.offshore-cloud.com/knowledgebase/75/Difference-entre-les-en-tetes-de-securite-CORS-et-CSP.html
• Qu'est que le clickjacking : https://clients.offshore-cloud.com/knowledgebase/136/Quandsharp039est-ce-que-le-clickjacking-et-comment-sandsharp039en-proteger.html