sécurité des webapps

Serveurs web Une partie des attaques web peuvent être bloquées en utilisant des mécanismes implémentés dans les navigateurs et activés du coté des serveurs web, reverse proxy (Nginx) ou certains CDNs (Akamai Cloudflare etc.) voir la liste par MDN. Dotnet Core l’ajout des en-têtes de sécurité se fait simplement grâce aux middlewares via context.Response.Headers.Add( )

Let’s Encrypt: les certificats SSL/TLS gratuits

Let’s Encrypt est une autorité de certification 🔐(CA en anglais) qui délivre plus de 50% des certificats SSL dans le monde.
Let’s Encrypt est gérée par l’ISRG qui est sponsorisé par quelques mastodontes du web tel que Mozilla, Akamai, Cisco, EFF.

Let’s Encrypt présente la particularité de fournir gratuitement 🎉 un système automatisé de délivrance de certificats SSL (pour info SSL = TLS), et pour cela l’ISRG a développé le protocole ACME  qui est exploité par le CLI Certbot (développé par l’EFF) qui va nous permettre de récupérer et installer les certificats SSL facilement!

Installer Certbot

Le script certbot (ou certbot-auto ou letsencrypt 💀) est donc l’outil que nous allons utiliser pour gérer (obtenir, renouveller ou révoquer) les certificats SSL Let’s Encrypt sur notre serveur Web (certbot n’est dispo que sur les Unix/Linux actuellement).

Pour l’installer suivre la procédure propre à chaque système, identifier notre système et versions par :

UFW un simple Firewall sous Linux

UFW Un firewall (pare-feu en 🇫🇷) permet de bloquer les tentatives d’accès à des combinaisons de ports/protocoles que nous définissons. Un firewall permet par exemple, de n’autoriser les connexions ssh que depuis certaines adresses IP. UFW a été conçu pour simplifier la mise en place d’un Firewall iptables sous Linux, qui est relativement complexe a configurer…